Um guia para proteger o ISA Server 2006

Alan Maddison

 

Visão geral:

  • Práticas recomendadas para proteger os servidores
  • Configurando o Assistente de Configuração de Segurança
  • O Assistente de Configuração de Segurança passo a passo
  • Atribuindo funções administrativas

Conteúdo

Protegendo os servidores
Configurando o Assistente de Configuração de Segurança
Executando o ACS
Funções administrativas

Embora muitos profissionais de TI dependam do ISA Server 2006 (Internet Security and Acceleration Server 2006) para proteger ativos de tecnologia, poucos dão aquele passo a mais para proteger o próprio ISA Server. Se você

instalou o ISA Server 2006 recentemente, talvez se recorde de que havia um lembrete para fazer isso assim que a instalação era concluída. Infelizmente, muitos de nós, profissionais de TI, raramente passam (ou têm) tempo para executar essa etapa, acabando naquela lista de tarefas que nunca são realizadas.

No cenário atual da segurança, em constante mudança, deixar de proteger o ISA Server não é mais algo aceitável. Felizmente, houve grandes avanços nas ferramentas usadas para proteger o ISA Server. Você não precisa mais enfrentar muitos dos desafios dos assistentes de proteção de segurança encontrados nas versões anteriores ao ISA Server 2004. Na verdade, é possível contar com etapas e tarefas bem definidas como, por exemplo, o Assistente de Configuração de Segurança (ACS) que acompanha o Windows Server® 2003.

Neste artigo, farei uma breve recapitulação das práticas recomendadas gerais quanto à proteção de servidores. Em seguida, observarei etapa a etapa as estratégias de proteção para o próprio ISA Server, usando o Assistente de Configuração de Segurança para reduzir a área da superfície de ataque do ISA Server e das funções administrativas para restringir o acesso ao ISA Server.

Protegendo os servidores

Há muitos elementos e práticas recomendadas envolvidos na proteção de servidores, independentemente de estarem localizados em um data center ou na sala do servidor próxima ao escritório. Como administrador, é de sua responsabilidade compreender quais são essas práticas recomendadas e fazer o melhor para implementá-las de forma adequada para a organização. Como a ênfase na segurança adquiriu mais importância nos últimos anos, muitos de nós nos familiarizamos bem com as tarefas que formam a base desses requisitos, logo, não repetirei os pontos, mas fornecerei apenas uma visão geral resumida.

A primeira etapa que você deve executar para proteger o ambiente é garantir que os servidores estejam fisicamente protegidos. Em termos práticos, isso significa que você deve restringir o acesso físico aos servidores. Em ambientes menores, isso significa verificar se a porta da sala do servidor continua fechada e se a lista das pessoas com acesso à sala permanece bem pequena. Em ambientes maiores, esse requisito básico continua praticamente o mesmo, mas pode ser implementado de maneira mais sofisticada. Muitas organizações usam o monitoramento eletrônico, por exemplo. Isso permite a elas auditar a entrada nos locais do servidor e até mesmo restringir o acesso a racks individuais ou compartimentos, dependendo da forma como as responsabilidades da função estão estruturadas.

Existem alguns fatores exclusivos a serem considerados quando se lida com o roubo ou o comprometimento físico de um ISA Server ou de um ISA Configuration Storage Server. A natureza das informações que podem ser obtidas com o servidor roubado podem comprometer todos os ISA Servers e o tráfego (inclusive o tráfego criptografado) no ambiente.

Se você suspeitar que um servidor foi comprometido, roubado etc., remova o servidor afetado imediatamente (caso ele ainda esteja no local) e siga os procedimentos padrão para proteger as evidências. Depois de executar essas etapas necessárias, você precisa começar o processo de alteração de todas as informações confidenciais – todos os certificados instalados no servidor devem ser revogados e todas as chaves pré-compartilhadas e segredos compartilhados, modificados. Além disso, se você mantiver uma réplica do Servidor de Armazenamento de Configuração, verifique se nenhum dado relacionado ao servidor comprometido foi removido.

Depois que os servidores forem protegidos fisicamente, a próxima etapa é verificar se existe uma metodologia estruturada para corrigir todos os softwares, inclusive a camada de virtualização, o sistema operacional e os aplicativos. Patches, atualizações e hotfixes devem ser examinados e aplicados regularmente. Mas não se esqueça de testar essas atualizações antes de aplicá-las a sistemas de produção. Um patch não servirá para nada, se acabar causando um problema que comprometa o aplicativo ou a integridade dos dados.

Se a integridade dos dados for comprometida, você precisará contar com os backups. E isso me leva a outro elemento essencial na proteção da infra-estrutura. Se você não conseguir restaurar rápida e completamente os dados de restauração diante da necessidade, o tempo de inatividade pode ter um impacto significativo nas operações e, assim, aumentar o custo de uma intrusão.

Outros dois elementos a serem considerados são o monitoramento e a auditoria. Monitorar os aplicativos e os sistemas é parte crítica de qualquer bom plano de segurança. Se não se dedicar a examinar os logs, especialmente os relacionados à segurança, é improvável que você sequer localize tentativas de intrusão antes do estrago ser feito.

Da mesma forma, a auditoria é crítica. Para muitas organizações, especialmente de ambientes grandes, isso costuma estar formalizado e ser até mesmo exigido por lei. Independentemente disso, é importante, em qualquer ambiente, examinar regularmente os controles e a metodologia usados para proteger os ativos, para que os esforços sejam efetivos.

Por fim, como você está executando o ISA Server 2006 no Windows Server® 2003, é importante examinar o Guia de Segurança do Windows Server 2003 e implementar as recomendações necessárias. É possível localizar o Guia de Segurança do Windows Server 2003 em microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx.

A Microsoft atualmente recomenda a implementação do modelo Baseline Security Policy, mas você não deve implementar nenhum filtro IPsec (Internet Protocol Security).

Configurando o Assistente de Configuração de Segurança

E como é possível tornar o próprio ISA Server mais seguro? A principal ferramenta para proteger o ISA é o ACS. Trata-se de uma ferramenta para redução da superfície de ataque. Ela cria diretivas de segurança que se destinam a serviços de um servidor, segurança de rede, Registro e diretiva de auditoria, configurando o sistema apenas para os serviços e os recursos de que precisa. É importante observar que você só deve configurar os serviços do ISA Server que pretende usar. Por exemplo, o serviço Web Proxy permanece habilitado por padrão, mas você deve desabilitar essa funcionalidade caso não pretenda usá-la. Por isso, você precisa prestar bastante atenção às opções de configuração apresentadas a você pelo ACS.

Por padrão, o ACS não está instalado no Windows Server 2003, logo, a primeira etapa é instalá-lo por conta própria usando o miniaplicativo Adicionar/Remover Componentes do Windows® no painel de controle Adicionar ou Remover Programas. (Observe que o ACS está instalado por padrão no Windows Server 2008.) Assim que a tela Componentes do Windows for carregada, role para baixo e marque a caixa do ACS.

Assim que a instalação é concluída, o aplicativo pode ser encontrado em Ferramentas Administrativas. Para começar a usar o assistente, você deve atualizar o ACS baixando uma atualização para o ISA Server 2006 (disponível em go.microsoft.com/fwlink/?LinkId=122532). Essa atualização adiciona as funções do ISA Server 2006 Standard Edition, do ISA Server 2006 Enterprise Edition e do ISA Server Configuration Storage Server.

Depois de baixar a atualização, você precisa executar o pacote e extrair os arquivos dele. Depois de extrair esses arquivos, copie os dois arquivos .xml (isa.xml e isaloc.xml) para a pasta SCW kbs – em uma instalação padrão do Windows Server, isso será c:\windows\security\msscw\kbs.

Ao copiar os arquivos, você será solicitado a substituir os dois arquivos existentes com o mesmo nome. Como esses dois arquivos se referem ao ISA Server 2004, você deve fazer o backup deles antes de substituí-los. A etapa final é copiar o arquivo isascwhlp.dll para a pasta bin, normalmente encontrada em c:\windows\security\msscw\bin. Depois de concluir a adição das funções do ISA ao ACS, você estará pronto para começar a instalação.

Em geral, a Microsoft recomenda que você só execute o ACS depois de concluir a configuração do ISA Server. Caso você esteja executando Enterprise Edition, isso inclui a configuração de todas as matrizes e de todos os seus membros.

Executando o ACS

A primeira etapa é iniciar o ACS em Ferramentas Administrativas – lembre-se de que você precisa de permissões administrativas para concluir com êxito o processo do ACS.

A Figura 1 mostra a primeira tela do assistente. Se continuar lendo o texto exibido nessa tela, especialmente o aviso que diz "este assistente detecta as portas de entrada abertas por este servidor", você conseguirá compreender por que é tão importante configurar o ISA Server e as matrizes por completo antes de começar esse processo.

fig01.gif

Figura 1 Iniciando o Assistente de Configuração de Segurança (Clique na imagem para ampliá-la)

Se não tiver configurado totalmente o ambiente, existe uma boa chance de que você precise revisar a configuração do ACS depois de concluir a configuração do ISA. A próxima tela, mostrada na Figura 2, pergunta qual ação você deseja realizar. Você deve selecionar a opção Criar nova diretiva de segurança.

fig02.gif

Figura 2 Criando uma nova diretiva de segurança (Clique na imagem para ampliá-la)

Em seguida, você é instruído a selecionar o servidor que servirá de linha de base da diretiva. Como você está criando uma diretiva nova, a seleção padrão é para usar o computador no qual você está executando o ACS. No entanto, esse comportamento muda de acordo com a ação que você optou por realizar na tela anterior. Independentemente disso, recomenda-se, como prática recomendável, ter o ACS instalado no servidor que você deseja usar como linha de base. Se o ACS não estiver instalado no servidor de destino, as informações usadas para concluir a diretiva não serão encontradas. Por isso, para simplificar a sua vida, instale e execute o ACS no servidor que deve servir como linha de base.

Quando você pressionar Avançar, o ACS começará a análise do ISA Server. Essa análise inclui a determinação das funções instaladas no servidor, as funções que devem estar instaladas no servidor, os serviços instalados e as informações básicas sobre o sistema de rede. Quando o processamento estiver concluído, será possível exibir o banco de dados selecionando Exibir Banco de Dados de Configuração. O banco de dados de configuração contém muitas informações, inclusive todas as funções de servidor com suporte, os recursos de cliente e as portas.

Em seguida, o ACS começa o processo de introdução à Configuração de Serviços com Base em Funções. Pressionar Avançar leva você à próxima tela, em que é solicitado a selecionar as funções de servidor, como mostrado na Figura 3. A verificação inicial realizada pelo ACS é confiável, e você deve notar que as funções de servidor corretas já foram identificadas. No entanto, é muito importante que você clique duas vezes e remova todas as funções desnecessárias. E caso o servidor tenha várias funções, verifique se todas as funções apropriadas estão selecionadas.

fig03.gif

Figura 3 Especificando funções de servidor (Clique na imagem para ampliá-la)

Um ponto importante a ser lembrado caso esteja executando o ISA Server 2006 Enterprise Edition é que você precisa considerar o Servidor de Armazenamento de Configuração. Se o Servidor de Armazenamento de Configuração estiver instalado em um servidor que também funciona como ISA Server (a propósito, isso não segue as práticas recomendadas, embora seja feito mesmo assim), você precisará verificar se a função de servidor Servidor de Armazenamento de Configuração também está selecionada. Você não deve usar uma verificação da linha de base que hospede ambas as funções de servidores que, na verdade, têm apenas a função do ISA Server 2006.

Em seguida, você é solicitado a selecionar os recursos de cliente do servidor. Em outras palavras, você precisa especificar os serviços exigidos pelo servidor. Por exemplo, praticamente todos os servidores exigirão o cliente DNS e, se for membro de um domínio, um servidor exigirá o recurso de membro Domínio.

Depois de fazer isso, você vê a tela Administração e Outras Opções. É nela que você indica as opções de aplicativo, administração e sistema operacional que usam serviços ou que dependem da conectividade de rede. Todos os serviços não selecionados a essa altura serão desabilitados. Depois de fazer as seleções e pressionar Avançar, você tem a opção de selecionar qualquer serviço adicional que deseja permitir.

Assim, você continua configurando como serviços não especificados devem ser tratados. Isso permite definir o que deve acontecer quando serviços não incluídos no banco de dados principal ou instalados no servidor de linha de base são encontrados com a diretiva sendo aplicada. Como prática recomendada geral, você deve optar por desabilitar serviços não especificados porque isso limitará qualquer vetor de ataque imprevisto. Infelizmente, essa opção pode ter conseqüências negativas caso os servidores sejam diferentes em aspectos significativos; você também precisa se lembrar dessa configuração caso adicione um aplicativo ou serviço de rede no futuro.

A próxima seção do assistente, mostrada na Figura 4, permite examinar os serviços que estão sendo modificados pelo ACS. Essa tela de confirmação fornece uma exibição comparativa do status atual e do status modificado dos serviços após a aplicação da diretiva.

fig04.gif

Figura 4 Examinar e confirmar alterações feitas no serviço (Clique na imagem para ampliá-la)

Depois de confirmar os serviços a serem alterados, você passa à seção Segurança de Rede. É nela que o ACS normalmente permitiria modificar as configurações do Firewall do Windows e do protocolo IPsec. Mas como está configurando o ISA Server 2006, você não tem escolha senão ignorar essa seção, como mostrado na Figura 5.

fig05.gif

Figura 5 Ignorando as configurações em Segurança de Rede (Clique na imagem para ampliá-la)

Em seguida, o assistente continua definindo as configurações do Registro que se concentram nos métodos de autenticação da rede e na segurança. A primeira tela desta seção envolve a autenticação do protocolo SMB (Server Message Block). O SMB é um protocolo do sistema de rede Microsoft básico, e essas configurações possibilitam uma comunicação autenticada a fim de reduzir a probabilidade de ataques a intermediários.

As configurações padrão, como mostra a Figura 6, fornecem um bom nível de segurança para a comunicação SMB do ISA Server. Mas você deve levar em conta o impacto que será causado pela autenticação de todas as comunicações. Caso não tenha ciclos da CPU sobrando, você deve desmarcar a segunda opção. E não se esqueça de pensar em todos os servidores aos quais essa diretiva será aplicada – caso tenha servidores com cargas de trabalho diferentes, você precisa usar o servidor com a maior utilização da CPU como orientação para selecionar ou não essa opção.

fig06.gif

Figura 6 Especificando se comunicações autenticadas são obrigatórias (Clique na imagem para ampliá-la)

O próximo conjunto de telas lida com o nível LMCompatibility que o ISA Server deve usar. A primeira dessas telas apresenta três opções. A menos que haja clientes Windows herdados (como, por exemplo, Windows 95 ou Windows 98) ou você use contas locais no controle de acesso, é preciso deixar a opção Contas no Domínio selecionada.

Na segunda tela que lida com o nível LMCompatibility, você fornece informações sobre os controladores de domínio. Caso não haja nenhum domínio do Windows NT® 4.0, é possível deixar a opção padrão (Windows NT 4.0 Service Pack 6a ou sistemas operacionais posteriores) selecionada. Nessa caixa de diálogo, você também deve selecionar a opção para que os relógios sejam sincronizados com o relógio do servidor selecionado. Selecionar Avançar levará a algumas opções de configuração adicionais referentes à comunicação de entrada LM (LAN Manager), como mostrado na Figura 7.

fig07.gif

Figura 7 Indicando métodos de autenticação de entrada (Clique na imagem para ampliá-la)

A terceira tela referente ao nível LMCompatibility determinará se o protocolo NTLM (Windows NT LAN Manager) versão 2 é obrigatório e se os hashes do LM são armazenados. Você deve verificar se nenhuma dessas opções está selecionada, contanto que o ambiente ofereça suporte a essa configuração, porque desmarcá-las aumentará a segurança de maneira significativa. Em seguida, é apresentado um Resumo das Configurações no Registro. Examine cada entrada e confirme se as configurações da diretiva estão corretas.

Em seguida, o assistente passa à seção final – Auditoria. Um ponto importante a ser observado com relação a qualquer uma das opções de configuração feitas nesta seção é que elas não podem ser revertidas. Mas como a auditoria não afetará a funcionalidade do sistema, você não deve ignorar essa seção.

A seleção padrão "Auditoria de atividades bem-sucedidas" não fornecerá entradas feitas no log de eventos por conta de falhas no logon. No entanto, informações referentes a falhas no logon podem oferecer informações importantes sobre tentativas de intrusão. Por isso, como uma prática recomendada geral, você deve selecionar "Auditoria de atividades bem e mal-sucedidas".

Em seguida, é possível examinar a configuração de auditoria e pressionar Avançar duas vezes para salvar a diretiva de segurança. O necessário nesta tela, mostrada na Figura 8, é um nome de arquivo; no entanto, também é possível fornecer uma descrição resumida. Essa descrição pode se mostrar útil em ambientes grandes em que administradores diferentes compartilham responsabilidades quanto à segurança.

fig08.gif

Figura 8 Fornecendo um nome e uma descrição para a diretiva de segurança (Clique na imagem para ampliá-la)

Depois de que o arquivo é salvo, você tem a opção de aplicar a diretiva imediatamente ou depois. Caso você opte por aplicar a diretiva posteriormente, o processo está concluído. Caso descubra ter cometido erros na configuração da diretiva, você pode reverter a diretiva, com exceção das configurações de auditoria.

Funções administrativas

Reduzir a superfície de ataque do ISA Server é uma etapa crítica na redução do potencial de violações com origens externas. No entanto, também é importante examinar a atribuição de funções administrativas no ISA Server para limitar o potencial de comprometimento com origens internas. As funções administrativas e uma lista parcial das tarefas comumente associadas são mostradas nas figuras 9 e 10.

Figura 9 Funções e tarefas associadas a Standard Edition

Tarefa Auditor de monitoramento Auditor Administrador pleno
Exibir Dashboard, alertas, conectividade, sessões e serviços Permitido Permitido Permitido
Reconhecer alertas Permitido Permitido Permitido
Exibir informações do log Permitido Permitido
Criar definições de alerta Permitido
Criar relatórios Permitido Permitido
Parar e iniciar sessões e serviços Permitido Permitido
Exibir diretiva do firewall Permitido Permitido
Configurar diretiva do firewall Permitido
Configurar cache Permitido
Configurar uma VPN (rede virtual privada) Permitido

Figura 10 Funções e tarefas associadas a Enterprise Edition

Atividade Auditor de monitoramento da matriz Auditor da matriz Administrador da matriz
Exibir Dashboard, alertas, conectividade e sessões Permitido Permitido Permitido
Reconhecer e redefinir alertas Permitido Permitido Permitido
Exibir informações do log Permitido Permitido
Criar definições de alerta - Permitido
Criar relatórios Permitido Permitido
Parar e iniciar sessões e serviços Permitido Permitido
Exibir diretiva do firewall Permitido Permitido
Configurar diretiva do firewall Permitido
Configurar cache Permitido
Configurar uma VPN (rede virtual privada) Permitido
Realizar esvaziamento/parada de NLB Permitido Permitido
Exibir configuração local (no Registro do membro da matriz) Permitido Permitido
Alterar configuração local (no Registro do membro da matriz)

Como se pode ver, existe um alto grau de segmentação nas tarefas administrativas associadas ao ISA Server. Isso, por sua vez, deve facilitar a atribuição das funções corretas a usuários dentro da organização.

Além disso, você precisa se lembrar de que a melhor abordagem em relação à atribuição da função é empregar o conceito de privilégios mínimos. Qualquer usuário só deve ter os privilégios mínimos necessários que o permitam realizar seu trabalho.

Também é importante lembrar que os membros do grupo Administradores local do ISA Server 2006 Standard Edition têm os mesmos direitos de um Administrador Pleno do ISA Server. Com o Enterprise Edition, os membros do grupo Administradores local no servidor com a função Servidor de Armazenamento de Configuração têm controle completo sobre a configuração do Enterprise. Isso significa que você precisa examinar cuidadosamente a associação do grupo Admin do Domínio, pressupondo que o ISA Server seja membro de um domínio, bem como qualquer outro grupo que seja membro do grupo Administradores local do ISA Server.

Alan Maddison é consultor sênior, especializado em tecnologias Microsoft, da Strategic Business Systems, uma divisão da Brocade.