• Статья

ISA-сервер

Улучшение безопасности шлюза сервера терминалов с помощью ISA Server 2006

Доктор Томас У. Шиндер (Thomas W. Shinder) и Юрий Диогенеc (Yuri Diogenes)

 

Коротко

  • Два случая использования шлюза СТ совместно с ISA Server
  • Настройка ISA Server 2006
  • Тестирование и наблюдение

Cодержание

За периметром
Первый случай
Настройка ISA Server 2006
Тестирование доступа клиентов и наблюдение за ним
Наблюдение из ISA Server
Второй случай
Как насчет клиента?
Заключение

Повторяя успех Outlook Anywhere в Exchange Server 2007, Windows Server 2008, в свою очередь, дает возможность получить доступ к вашему рабочему столу безопасным и контролируемым образом из любого места.

Новая служба шлюза сервера терминалов (шлюза СТ) в Windows Server® 2008 предлагает гибкость служб серверов терминалов Windows® в сочетании с возможностю подключения к серверу терминалов из любого места по подключению HTTP. Эта служба использует протокол удаленного рабочего стола (RDP) поверх HTTPS (SSL) для усиления защиты, предоставляя единый клиентский интерфейс для доступа к ресурсам служб терминалов.

Эта новая служба шлюза СТ предлагает существенные выгоды тем, кому нужен удаленный доступ к их компьютерам:

  • Нет необходимости устанавливать сеанс виртуальной частной сети (VPN) до подключения к внутренним ресурсам при помощи RDP.
  • Улучшена безопасность при помощи NAP и проверки работоспособности защиты Windows (Windows Security Health Checks) для контроля подключений по RDP.
  • Не нужно открывать порт 3389 TCP на вход для получения возможности более безопасной веб-публикации через брандмауэры.

Microsoft® Internet Security and Acceleration (ISA) Server 2006 можно использовать для усиления защиты службы шлюза СТ при разрешенном внешнем доступе к внутренним ресурсам. Можно настроить вариант моста SSL к SSL, где ISA Server 2006 получает запросы и передает их внутренней службе шлюза СТ также при помощи HTTPS. При передаче запроса брандмауэр ISA расшифровывает связь по SSL и производит инспекцию уровня приложений.

Если поток протокола HTTP проходит инспекцию, тогда связь шифруется снова и затем передается на прокси служб терминалов. Если поток протокола инспекцию не проходит, связь обрывается.

За периметром

Корпорация Майкрософт проделала значительную работу по повышению безопасности, и Windows Server 2008 — на данный момент самая безопасная и устойчивая версия системы Windows. Однако корпорация озабочена и тем, как пользователи будут реализовывать ее продукты и как пользователи будут следовать практическим рекомендациям для сохранения своей среды в безопасности. Практические рекомендации требуют подхода эшелонированной защиты, который предоставляет защиту в нескольких точках доступа или слоях. Слои, соответствующие нашей дискуссии: политики, процедуры и сведения о состоянии; периметр; внутренняя сеть и, наконец, узел (компьютер).

Когда разрешается доступ внешних пользователей ко внутреннему ресурсу через ISA Server, вам нужно определить границы слоя, в который входит каждый продукт. ISA Server 2006 и шлюз СТ предоставляют безопасность в слое периметра, но для внутренних ресурсов нужно иметь локальные политики, которые предоставляют доступ или отказывают в нем. Сетевая политика и службы доступа (NPAS) позволяют достигнуть этого, работая в слое политик, процедур и сведений о состоянии. Доступ ко внутренним ресурсам (диск, буфер обмена, принтеры, и т.д.) определяется политиками авторизации ресурсов служб терминалов, которые относятся к слою внутренней сети.

В этой статье сначала рассмотрим, как опубликовать шлюз служб терминалов через ISA Server 2006. Затем расширим случай публикации через ISA Server 2006 включением принудительной проверки работоспособности клиента при помощи NAP. При помощи NAP можно создавать политики проверки работоспособности клиента, которые помогут контролировать доступ в слое узла.

Первый случай

Цель — показать, как опубликовать шлюз СТ через ISA Server 2006. На рис. 1 показана общая картина компьютеров и потока данных при подключении. В этом случае реализуется роль сервера сетевой политики (Network Policy Server, NPS) на самом шлюзе СТ; однако он будет изменен во втором случае, где используется центральный сервер NPS. Изучите приведенную ниже последовательность этапов, чтобы ознакомиться с тем, как работает связь между компонентами решения публикации шлюза СТ.

fig01.gif

Рис. 1. Публикация шлюза СТ через ISA Server 2006 (Щелкните изображение, чтобы увеличить его)

  1. Внешний пользователь RDP инициирует подключение. Первое, что должен сделать клиент, — разрешить внешнее имя шлюза СТ (в этом примере tsg.contoso.com). Внешняя служба DNS разрешает это имя, которое указывает на внешний IP-адрес сервера ISA.
  2. Между клиентом RDP и внешним интерфейсом сервера ISA устанавливается туннель SSL. Сервер ISA имеет правило веб-публикации на порту 443 TCP, которое использует сертификат, выданный для tsg.contoso.com.
  3. После выполнения этого правила и проверки того, что трафик разрешен, ISA Server пошлет запрос DNS внутреннему серверу DNS (расположенному на контроллере домена) для разрешения имени сервера, укзазанного в правиле веб-публикации.
  4. ISA Server затем откроет туннель SSL к шлюзу СТ и передаст ему запрос проверки подлинности.
  5. Сервер шлюза СТ подтверждает учетные данные пользователя и проверяет, авторизован ли этот пользователь для установления подключения.
  6. Установив, что пользователь авторизован для установления подключения, служба шлюза СТ принимает запросы на порт 443 TCP и перенаправляет пакеты RDP через порт 3389 TCP (по умолчанию) ко внутреннему серверу терминалов, где находятся приложения (такие как CRM).

С этой точки зрения, все пакеты, которые клиент RDP отправляет службе шлюза СТ через ISA Server, пересылаются внутреннему серверу терминалов и наоборот.

Важно отметить, что RDP по HTTPS за кулисами ничем не лучше, чем RDP/RPC/HTTPS. Клиент RDP инкапсулирует связь по RDP в заголовок RPC, который, в свою очередь, инкапсулирован в заголовок HTTP, безопасность которого обеспечивается SSL (или безопасностью транспортного уровня, TLS). Должны присутствовать все компоненты, которые нужны для решения RPC по HTTPS. Поэтому, когда вы устанавливаете службу роли шлюза СТ, автоматически устанавливается прокси RPC по HTTP. Чтобы лучше понять, как этот протокол работает, рекомендуем прочесть статью «Тестирование RPC по HTTP через ISA Server 2006, часть 1: протоколы, проверка подлинности и обработка», которую можно найти в блоге группы ISA Server (доступно по адресу blogs.technet.com/isablog).

Для этой реализации требуется Windows Server 2008 с установленным шлюзом служб терминалов, и это средство зависит от прокси RPC поверх HTTP. Для функционирования компонента прокси RDP по RPC по HTTP должны быть установлены службы IIS 7.0, и они должны работать . Кроме того, требуются службы сетевых политик и доступа, но, если нужно, можно настроить шлюз СТ для использования сервера NPS (ранее известного как службы IAS) для централизации хранения, контроля и проверки политик авторизации подключения служб терминалов (TS CAP). Наконец, нужно получить сертификат SSL для сервера шлюза СТ, если его ещё нет. Важно подчеркнуть, что ISA Server 2006 должен доверять центру сертификации, который выпустил этот сертификат. Поэтому обеспечьте иморт этого сертификата в хранилище доверенных корневых сертификатов.

Доменные службы Active Directory ® требуются только в том случае, если настраивается авторизационная политика шлюза СТ, для которой необходимо, чтобы пользователи были членами группы безпасности Active Directory для подключения к серверу шлюза СТ. Для этого примера установки будет использована служба Active Directory на компьютере с Windows Server 2003 с пакетом обновления 2 (SP2).

Когда установка службы шлюза служб терминалов закончится, появится окно на рис. 2, в котором показаны установленные компоненты. Для подключения к шлюзу СТ клиенты должны работать под управлением одной из следующих систем: Windows Vista®; Windows XP с пакетом обновления 2 (SP2) и RDP 6.0 или выше; Windows Server 2008; Windows Server 2003 с пакетом обновления 1 (SP1) или выше RDP 6.0 или выше. Дальнейшие сведения по настройке шлюза СТ можно найти в поэтапном руководстве по установке сервера шлюза СТ Windows Server 2008, доступном по адресу go.microsoft.com/fwlink/?LinkId=122251. Теперь перейдем к настройке ISA Server 2006.

fig02.gif

Рис 2. Обзор установки шлюза СТ(Щелкните изображение, чтобы увеличить его)

Настройка ISA Server 2006

Первым шагом станет создание веб-прослушивателя, который будет обслуживать запросы от внешнего клиента RDP. Веб-прослушиватель имеет следующие ниже параметры.

  • Проверка подлинности: базовая
  • Утверждение проверки подлинности: Windows (Active Directory)
  • Подключения: включено подключение по SSL (HTTPS) через порт 443
  • Сертификаты: сертификат, выпущенный для tsg.contoso.com
  • Сети: внешняя

Затем нужно создать правило веб-публикации. С точки зрения ISA Server 2006, клиент RDP будет использовать тот же протокол, что и Outlook® Anywhere, так что выбираем мастер Exchange Server 2007. Просто выполните следующие действия.

  1. Щелкните правой кнопкой пункт Firewall Policy («Политика брандмауэра»), выберите New («Новая»), а затем – правило публикации доступа веб-клиента сервера Exchange.
  2. На странице Welcome to the New Web Publishing Rule Wizard («Мастер создания правила веб-публикации») введите имя правила и нажмите кнопку «Далее».
  3. На странице Select Rule Action («Выберите действие правила») выберите пункт Allow («Разрешить») и нажмите кнопку «Далее».
  4. На странице Authentication Delegation («Делегирование проверки подлинности») выберите вариант No delegation, but client may authenticate directly («Нет делегирования, но подлинность клиента можно проверить непосредственно») и нажмите кнопку «Далее».
  5. На странице User Set («Установленные пользователи») проверьте, что выбран вариант по умолчанию (Все пользователи), нажмите кнопку «Далее», затем «Готово» и примените изменения.
  6. На странице New Exchange publishing rule («Создание нового правила публикации Exchange») выберите версию Exchange, в нашем случае — Exchange Server 2007. Выберите Outlook Anywhere (RPC/HTTP(s)) и нажмите кнопку «Далее». (Примечание: не выбирайте Publish additional folders («Публиковать дополнительные папки») в параметрах клиента Exchange Server для Outlook 2007.)
  7. На странице Publishing Type («Тип публикации») выберите вариант Publish a single Web Site or load balancer («Опубликовать одиночный веб-узел или балансировщик нагрузки») и нажмите кнопку «Далее».
  8. На странице Server Connection Security («Безопасность подключения к серверу») выберите Use SSL («Использовать SSL») для подключения к опубликованному веб-серверу или ферме серверов, затем нажмите кнопку «Далее».
  9. На странице Internal Publishing Details (сведения о внутренней публикации) в поле Internal site name («Имя внутреннего узла») наберите имя сервера шлюза СТ. Установите флажок Use a computer name or IP address to connect to the published server («Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу), и затем в поле Computer name or IP address («Имя или IP-адрес компьютера») введите имя сервера. Если вы не знаете имя сервера шлюза СТ, нажмите кнопку «Пролистать», чтобы найти его местоположение. Заметим, что имя, которое использовано на этой странице, должно совпадать с общим или субъектным именем на сертификате веб-узла, привязанного к этому веб-узлу шлюза СТ.
  10. На странице Public Name Details («Сведения об общедоступном имени») выберите This domain name (type below) («Имя этого домена (ввод ниже)») в раскрывающемся списке Accept requests for («Принимать запросы к») и затем в поле «Общедоступное имя» введите общедоступное имя, совпадающее с именем в сертификате, который был выпущен для этого URL-адреса, здесь — tsg.contoso.com. Затем нажмите кнопку «Далее»
  11. На странице Select Web Listener («Выбрать веб-прослушиватель) щелкните раскрывающийся список и выберите веб-прослушиватель, который был ранее создан, затем нажмите кнопку «Далее».

На странице Authentication Delegation («Делегирование проверки подлинности») выберите вариант No delegation, but client may authenticate directly («Нет делегирования, но подлинность клиента можно проверить непосредственно») и нажмите кнопку «Далее».

На странице User Set («Установленные пользователи») проверьте, что выбран вариант по умолчанию (Все пользователи), нажмите кнопку «Далее», затем «Готово» и примените изменения.

Если дважды щелкнуть это правило и перейти на вкладку Path («Путь»), то единственным имеющимся путем там будет /rpc/*. Это — следствие того факта, что мы использовали мастер Outlook Anywhere для Exchange Server 2007.

Тестирование доступа клиентов и наблюдение за ним

Как было указано раньше, для подключения к шлюзу СТ нужен клиент RDP версии 6.0 или выше. Для настройки клиентского приложения RDP загрузите его и наберите имя сервера терминалов, к которому нужно подключиться, в поле Computer («Компьютер»). Нажмите кнопку Options («Параметры»), выберите вкладку Advanced («Дополнительно»), затем Settings («Параметры»), затем наберите внешнее имя сервера шлюза СТ, как показано на (рис. 3). В нашем примере это имя на сертификате, привязанном к веб-прослушивателю, который используется правилом веб-публикации для приема входящих запросов. Заметим, что в этом примере используется проверка подлинности Windows NT® LAN Manager. Закончив ввод, нажмите кнопку «OK» и потом «Подключиться». Появится запрос проверки подлинности. Введите учетные данные пользователя с доступом к серверу терминалов и нажмите кнопку «ОК».

fig03.gif

Рис 3. Настройка клиента RDP(Щелкните изображение, чтобы увеличить его)

Заметим, что при использовании клиента RDP версии 6.0 (для Windows XP и Windows Server 2003) появится экран на рис. 3. Запрос на проверку подлинности будет выдан дважды: первый раз для компьютера шлюза СТ, второй раз — для сервера терминалов, доступ к которому нужно получить. Это — важный момент: хотя можно было бы подумать, что это вызвано настройкой ISA Server, на самом деле ISA Server не поддерживает поддержку проверки подлинности совсем, так как веб-роль публикации применима ко «Всем пользователям», из-за чего становятся возможными анонимные подключения через брандмауэр ISA.

Клиент RDP, поставляемый в составе Windows Server 2008, имеет параметр «Использовать мои учетные данные шлюза СТ для удаленного компьютера», как показано на рис. 4. Если выбран этот вариант, не нужно вводить учетные данные дважды, что повышает удобство работы пользователей. Этот вариант единого входа также доступен в Windows Vista после установки пакета обновления 1 (SP1).

fig04.gif

Рис 4. Клиент RDP из состава Windows Server 2008 (Щелкните изображение, чтобы увеличить его)

Можно наблюдать за подключениями через диспетчер шлюза СТ, используя режим Monitoring («Наблюдение»). Служба шлюза СТ также предоставляет информацию, когда неавторизованный пользователь пытается подключиться к серверу. На рис. 5 в окне просмотра событий показана попытка подключения пользователя, который не имеет полномочий для подключения через шлюз СТ.

fig05.gif

Рис. 5. Событие в службе шлюза СТ, занесенное в журнал (Щелкните изображение, чтобы увеличить его)

Для этого события записан внутренний IP-адрес сервера ISA Server 2006, потому что в правиле веб-публикации включен режим «Запросы, пришедшие с компьютера ISA Server». Если нужно зарегистрировать исходный IP-адрес клиента, нужно изменить правило веб-публикации ISA Server 2006 и выбрать режим «Запросы приходят от исходного клиента» на вкладке «Кому».

Наблюдение из ISA Server

При помощи новых компонентов обновления обеспечения поддержки ISA Server 2006 можно пристально следить за каждым подключением ко внутренней сети и знакомиться с тем, что при этом происходит. На рис. 6 показано одно выделенное подключение, и на линии Request: («Запрос:») команда RPC_IN_DATA указывает URL-адрес для RPC через прокси HTTP.

fig06.gif

Рис. 6 Журналирование в ISA Server 2006 при помощи обновления обеспечения поддержки (Щелкните изображение, чтобы увеличить его)

Ниже в журнале можно увидеть другую команду RPC по HTTP, RPC_OUT_DATA. Важно знать, какие методы HTTP используются для RDP/HTTP, а именно RPC_IN_DATA и RPC_OUT_DATA, потому что если фильтрация HTTP настроена для блокировки этих методов, трафик на ISA Server будет заблокирован. Если нужно заблокировать среду, можно настроить веб-правило публикации RDP/HTTP для разрешения только этих двух методов. Дополнительные сведения о методах HTTP, обычно используемых для публикации, приведены в статье «Фильтрация HTTP в ISA Server 2004» по адресу technet.microsoft.com/library/cc302627.

Второй случай

В этом случае шлюз СТ будет использовать политику центра NPS, расположенного на другом сервере. Применим политику NAP для клиентов, удаленно подключающихся через шлюз СТ. Эти же компоненты, которые использовались в случае 1, используются тут снова, только добавлен сервер NPS. Однако благодаря введению NAP на клиентской стороне будет использовано больше компонентов, как видно на рис. 7.

fig07.gif

Рис. 7 Основные компоненты топологии случая 2 (Щелкните изображение, чтобы увеличить его)

Здесь приведено объяснение каждого компонента. В клиенте Windows Vista агент работоспособности системы (SHA) состоит из компонентов на стороне клиента, ответственных за наблюдение и отчетность о состоянии работоспособности клиента. В составе Windows Vista поставляется агент SHA Windows, однако другие производители также работают по созданию собственных агентов SHA.

Агент NAP на клиенте отвечает за установление подключения к серверу NAP Enforcement Server, когда клиент пытается получить доступ в сеть. Агент NAP отправляет заключение о работоспособности (SoH) этому серверу.

В шлюзе СТ есть политика авторизации ресурсов служб терминальнов (TS RAP) — компонент, который позволяет определить, какие компьютеры будут доступны для получения входящих запросов RDP. TS RAP также определяет, каким пользователям разрешено устанавливать подключения по RDP к указанным серверам.

Центр NPS отвечает за управление условиями, ограничениями и параметрами, регулирующими доступ к внутренним компьютерам. Средства проверки системной работоспособности (SHV) в центре NPS отвечают за оценку того, является ли SoH, поданный клиентом, соответствующим набору политик, установленных администратором.

Давайте сейчас изменим шлюз СТ для указания на сервер центра NPS. Открываем консоль управления шлюза СТ (TS Gateway Manager Console), щелкаем правой кнопкой мыши имя сервера и выбираем пункт «Свойства». В окне свойств сервера переходим на вкладку TS CAP Store и выбираем сервер центра NPS. Затем вводим имя сервера или IP-адрес сервера NPS и нажимаем на кнопку «Добавить». Появится всплывающее окно общего секрета. Введите этот секрет и нажмите кнопку ОК, затем еще раз нажмите кнопку «ОК», чтобы закрыть окно. Нужно помнить этот секрет, так как он будет использоваться на сервере NPS.

Ниже представлены действия, которые нужно выполнить (предположим, что NPS уже установлен на другом сервере):

  1. Откройте консоль сервера сетевой политики, и на левой окне панели выберите NPS (Локально).
  2. На правой панели выберите «Настроить NAP». Появится страница Select Network Connection Method for Use with NAP («Выбор метода сетевого подключения для использщования при помощи NAP»).
  3. В поле Network Connection Method («Метод сетевого подключения») выберите TS Gateway («Шлюз СТ»)из раскрывающегося списка и нажмите кнопку «Далее».
  4. На странице Specify NAP Enforcement Servers Running TS Gateway («Укажите серверs применения NAP, на которых запущен шлюз СТ») нажмите кнопку «Добавить».
  5. В новом окне TS Gateway («Шлюз СТ») введите имя и IP-адрес сервера шлюза СТ. И затем внизу окна введите общий секрет, который был использован при настройке сервера шлюза СТ. Затем выберите «ОК».
  6. На странице настройки перенаправления устройств клиента и методов проверки подлинности можно указать, какие устройства будут перенаправляться, и допустимый метод провери подлинности (пароль или смарт-карта). Для этого примера оставьте параметры по умолчанию и нажмите кнопку «Далее».
  7. На странице Configure User Groups and Machine Groups («Настройка групп пользователей и машин») добавьте группу пользователей, которой разрешено устанавливать подключение. В этом примере, нажмите на кнопку Add Users («Добавить пользователей») под заголовком User Groups (Required) («Группы пользователей: (Обязательно)) и выберите «Администраторы домена». Щелкните кнопку «ОК», а затем «Далее».
  8. На странице определения политики работоспособности NAP вы заметите, что SHV по умолчанию уже выбран. Обратите также внимание на то, что в нижней части страницы закрыт доступ для несоответствующих компьютеров. Оставьте выбранные параметры по умолчанию и нажмите «Далее».
  9. На странице Completing NAP Enforcement Policy and RADIUS Client Configuration («Политика применения NAP и настройка клиента RADIUS») еще раз просмотрите параметры, которые вы ранее выбрали. Можно также перейти по гиперссылке «Сведения о настройке», в результате чего откроется страница HTML с перечнем выбранных параметров. Закончив работу, нажмите кнопку «Готово».

Этот мастер позаботится о настройке параметров для множества важных политик (политики запроса подключений, сетевые политики и политики работоспособности), существенно уменьшит работу, необходимую в этом случае для настройки NAP.

А что там с клиентом?

Сейчас все серверы установлены и настроены, а что нужно делать в отношении клиента?

Для получения преимуществ от политики применения NAP клиентской системой должна быть либо Windows Server 2008, либо Windows Vista. Для Windows XP нужно установить пакет обновления 3 (SP3), в составе которого есть клиент NAP.

Кроме требований к операционной системе, есть некоторые важные службы и параметры, которые нужно включить на стороне клиента. В их число входят следующие.

  • Добавление имени сервера шлюза СТ в список доверенных серверов у клиента.
  • Запуск службы агента NAP и установка типа запуска службы на «Автоматически».
  • Включение клиента применения карантина шлюза СТ.

Чтобы упростить развертывание этого решения, корпорация Майкрософт создала команду настройки клиента NAP служб терминалов (Tsgqecclientconfig.cmd), которая может быть загружена по адресу go.microsoft.com/fwlink/?LinkId=122267. После запуска этой команды клиент будет настроен как клиент применения NAP для щлюза СТ. Обратите внимание на то, что команда должна выполняться под учетной записью с повышенными правами.

На всем протяжении этой статьи основной задачей было не только показать и объяснить новые свойства щлюза СТ, которые доступны на Windows Server 2008, и показать, как их безопасно публиковать через ISA Server 2006, но и предоставить общую перспективу достижений защиты, которые сочетание этих двух продуктов может предоставить вашей организации.

В современном мире быть на связи везде — ключевое требование почти для любого успешного бизнеса. Однако также необходимо, чтобы эта связь не поставлялась ценой удобства работы пользователей. И, что даже более важно, необходимо, чтобы все это было сделано с обеспечением безопасности.

Доктор Томас У. Шиндер является MCSE и ISA Server MVP. Он работает как преподаватель по технологиям, автор и консультант с 1996 года. Доктор Шиндер — автор шести книг по брандмауэрам ISA. Он также является идейным вдохновителем и основным злоумышленником в ISAserver.org, самом большом сообществе администраторов и поклонников брандмауэров ISA в Интернете.

Юрий Диогенес, MCSE+S, MCTS, MCITP, Security+, Network+ и CCNP, является инженером сопровождения безопасности в отделе Microsoft ISA Server/IAG. Он пишет статьи для Microsoft TechNet Library и блога отдела ISA Server. Юрий работает с технологиями Майкрософт с 1993 г. До прихода в корпорацию Майкрософт он работал преподавателем по технологиям Майкрософт, аналитиком поддержки и консультантом.