Nettverket og konfigurasjoner av ISA Server 2006
I dette avsnittet skal vi se på nettverket og konfigurasjonen av ISA Server 2006. Vi skal ta en titt på nettverket før, under og etter introduksjonen av ISA Server. Vi skal videre se på hvordan ISA Server 2006 kan konfigureres og hvilke tjenester og porter som benyttes. Dette avsnittet danner fundamentet for de øvrige prosedyrer i artikkelserien.
Edge Firewall Template I ISA Server 2006
Når ISA Server 2006 blir installert blir malen Edge Firewall benyttet. Dette er default konfigurasjonen ved installasjon. Denne konfigurasjonen forutsetter to nettverskort i W2K3 serveren der ISA Server 2006 installeres. Det ene nettverskoret er forbundet til SBS Server 2008 Lan og det andre nettverskortet er (i denne artikkelen) forbundet til en ruter / brannmur som besørger pålogging til ISP. Det anbefales å ha en NAT devise foran ISA Server 2006.
Figur 1 – Figuren viser hvordan nettverket var konfigurert før, under og etter introduksjonen av ISA Server 2006.
Utgangspunktet er et korrekt konfigurert SBS 2008 nettverk med en ruter / brannmur i front. Portforwarding er utført i ruter og SBS 2008 er ferdig installert, konfigurert, testet og den fungerer utmerket.
Forfatterens ruter har mulighet for flere Lan. Ruter ble derfor konfigurert med DMZ i eget subnett. I DMZ porten på ruter ble så ISA Server 2006 eksterne nettverskort forbundet. Det interne nettverskortet til ISA Server 2006 ble knyttet til SBS Server 2008 Lan. Dette tillot artikkelforfatteren å konfigurere ISA server i ro og mak, for å få innstillingene i ISA Server korrekt konfigurert. En pc ble konfigurert med ISA Servers interne nettverskort som gateway, og ISA Firewall Client ble installert på denne for testing av internett forbindelsen og andre innstillinger under veis.
Når så ISA Server 2006 var ferdig konfigurert, ble SBS 2008 Wizarden ”Connect to the Internet” kjørt, og SBS 2008 ble på den måten konfigurert til å benytte ISA Server 2006 interne nettverskort som default gateway istedenfor ruteren Lan ipadresse. Kabelen mellom ruter og SBS 2008 Lan (1) ble da fjernet, og ruteren ble konfigurert til å benytte DMZ subnettet i Lan portene. Til slutt ble forvarding rettet i ruter slik at trafikk fra internett ble styrt til det eksterne nettverskortet i ISA Server 2006.
Tips
Du kan ha et nettverk med to gatewayer. Det vil imidlertid ofte skape forvirring ved konfigurasjon, og kan skape uventede resultater med tanke de retninger trafikken tar inn og ut. Pc-er med spesielle behov (ruter til ruter VPN) kan benyttes i slike tilfeller. Men som nevnt, uventede resultater vil gjerne være en konsekvens, og man benevner gjerne en slik konfigurasjon som et ”nightmare” senario.
Tabell 1 – Aktuelle verdier benyttet i artikkelen.
|
Beskrivelse
|
Verdi
|
|
SBS 2008
|
192.168.16.3
|
|
SBS 2008 Computer navn
|
SBS02
|
|
SBS 2008 interne domene (FQDN)
|
postrobot.local
|
|
DHCP Service
|
På SBS Server 2008
|
|
Ruter IP adresse
|
192.168.16.1
|
|
ISA Server IP adresse (interne NIC)
|
192.168.16.10
|
|
ISA Server Computer navn
|
ISA01
|
|
Eksternt domene (URL)
|
portal.postrobot.com
|
Figur 2 – Nettverstegning etter rekonfigurasjon.
Konfigurasjon av hardware ruter / brannmur
Fremre ruter / brannmur besørger pålogging til ISP. Wan linjen til ruter har også den faste ipadressen fra ISP. I ruteren åpnes det porter og disse portene forwardes fra internett til det eksterne nettverskortet på ISA Server 2006 installert på W2K3 server. I fremre ruter kan man med fordel åpne og forwarde alle porter som kan benyttes av SBS server 2008. Det minimerer vedlikeholdet.
Tabell 2 – Porter som åpnes og forwardes i fremre ruter / brannmur til ISA servers eksterne nettverskort.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
SMTP (TCP 25)
|
Internett
|
Eksterne ISA NIC
|
Hvem som helst
|
Nei
|
Tillat
|
|
HTTPS (TCP 443)
|
Internett
|
Eksterne ISA NIC
|
Hvem som helst
|
Nei
|
Tillat
|
|
Companyweb (TCP 987)
|
Internett
|
Eksterne ISA NIC
|
Hvem som helst
|
Nei
|
Tillat
|
|
VPN PPTP 1723
GRE 00 eller protokoll 47
|
Internett
|
Eksterne ISA NIC
|
Hvem som helst
|
Nei
|
Tillat
|
1) Det anses ikke å være beste praksis å åpne / forwarde port http – tcp 80 til SBS 2008.
Når det gjelder trafikk fra Lan (det interne nettverk) til Wan (internett) i fremre ruter, så kan man åpne for alle trafikk. Trafikk fra det beskyttede SBS Server 2008 Lan vil kontrolleres av ISA Server 2006. En slik konfigurasjon minimerer vedlikeholdet av fremre ruter.
Tabell 3 – Porter som åpnes fra Lan til Wan i fremre ruter / brannmur.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
Alle
|
Ruter Lan
|
Internett
|
Alle
|
Nei
|
Tillat
|
Publisering av interne resurser til internett
I artikkelen blir det vist hvordan ISA Server kan konfigureres til å publisere interne resurser til internett. Publisering til internett gjøres med server publishing og web publishing. Artikkelen viser hvordan publiseringen gjøres.
Server publishing gjøres av Exchange Server 2007 E-mail (SMTP) server. Dette gjøres for at det lokale nettverk skal kunne motta e-post direkte fra internett. Dersom man benytter Smart Host, kan man med fordel begrense hvilke kilder ISA Server 2006 aksepterer e-post fra. I så måte vil man begrense mottak av e-post til kun å omfatte oversendelse fra Smart Host. Dette blir kommentert i artikkelen.
Web Publishing omfatter følgende interne resurser; Remote Web Workplace, Exchange Outlook Web Access, Exchange ActiveSync, RPC over HTTPS for TS Gateway og Outlook Anywhere, og Companyweb. For å beskytte forsendelse av autentisering og informasjon over Internett (end to end SSL), eksporteres sertifikatet fra SBS Server 2008 til W2K3 serveren som kjører ISA Server 2006. Web lyttere i ISA Server 2006 konfigureres så til å benytte det importerte sertifikatet for kryptering av forbindelsen. Eksport og Import av SBS 2008 sertifikatet, konfigurasjon av web lytter, og server og web publisering av interne resurser blir vist i artikkelen. Understående tabell gir en oversikt over de tjenester og porter som publiseres.
Artikkelen er forsøkt oppbygd på en slik måte at man kan velge komponenter for publisering. Når det gjeller hvilke brukere som har tilgnag til å benytte disse tjenestene, vises det til den generell konfigurasjon av SBS 2008. Sjekk for eks disse linkene:
Tabell 4 – Server og Web Publishing bruker understående porter fra SBS 2008 til ruter / internett.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
Exchange Server 2007 - SMTP (TCP 25)
|
Ruter / Internett
|
SBS 2008
|
All Users
|
Nei
|
Tillat
|
|
OWA HTTPS (TCP 443)
|
Ruter / Internett
|
SBS 2008
|
All Authenticated Users
|
Ja
|
Tillat
|
|
ActiveSync – HTTPS – (TCP 443)
|
Ruter / Internett
|
SBS 2008
|
All Authenticated Users
|
Ja
|
Tillat
|
|
RPC over HTTPS (TS Gateway og Outlook Anywhere) – (TCP 443)
|
Ruter / Internett
|
SBS 2008
|
All Users
|
Ja
|
Tillat
|
|
Companyweb (TCP 987)
|
Ruter / Internett
|
SBS 2008
|
All AuthenticatedUsers
|
Ja
|
Tillat
|
Om ISA Server 2006 klienter
Dette er nok et tema der mange roter. La oss få det helt klart: en ISA Server 2006 klient er ganske enkelt en computer som kobler seg til resurser i et annet nettverk via ISA Server. Før du konfigurer ISA Server for å gi brukere internett tilgang må du ha det klart for deg hvilken type av ISA Server klient som skal bruk regelen, fordi regel konfigurasjonen påvirker hvilken ISA klient som kan benytte den. Klientene er Firewall klient og Secure NAT klient. I tillegg kan begge disse klienter benytte ISA Web Proxy og som sådan være en Web Proxy klient. Om de to klientene kan man oppsummert si at ulempen med ISA Server Firewall Client er at dette programmet må installeres på pc-er og terminalserver. Hvis man derimot benytter Secure NAT klient trenger man ingen installasjon, men dersom Secure NAT klienten i tillegg skal benytte ISA Web Proxy, så må browser eller det aktuelle program konfigureres for dette. Det var enkelt, så nå får vi se på de utfyllende forklarende komplikasjoner?
Hovedregel for valg av ISA klient:
- Bruk ISA Server Firewall Client på pc-er og terminalserver.
- Bruk Secure NAT klient for servere og serveres særskilte internett adgang.
Den sikreste klienten er ISA Server Firewall Client som automatisk også benytter ISA server Web Proxy. For brukeres internett surfing er og blir det den sikreste og beste løsning. ISA Server Firewall Client installeres vanligvis ikke på server, men unntak av terminalserver.
I denne artikkelen legges det til rette for bruk av ISA Server Firewall Client. Vi vil opprette en sikkerhetsgruppe der brukere må være medlem for å kunne benytte internett. Det vil konfigureres brannmur regler for utgående trafikk i ISA Server som autentiserer brukeren via deres medlemskap i sikkerhetsgruppen som tillater internett bruk. Det vil videre konfigureres Secure NAT internett tilgang for SBS Server 2008 ut i fra nødvendig tilgang til internett.
Tabell 5 – Fordeler og ulemper ved de to typer av ISA Server klienter.
|
Sammenligning av ISA Server klienter
|
|
Beskrivelse
|
Secure NAT Client
|
Firewall Client
|
Web Proxy Client
|
|
Klient installasjon ved bruk?
|
Ingen klient installasjon og ingen klient konfigurasjon (1
|
Klient installasjon av brannmur klient
|
Ingen klient installasjon men program konfigurasjon av browser.
|
|
Operativsystem support?
|
Alle operativsystemer som støtter TCP/IP
|
Kun Windows operativsystemer
|
Alle operativsystemer som har kompatible programmer
|
|
Protokoll support?
|
Applikasjons filtre er nødvendig for ”multiple connection” protokoller.
|
Alle Winsock applikasjoner
|
HTTP, HTTPS og FTP over HTTP
|
|
Bruker autentisering?
|
Nei, med unntak av VPN forbindelse
|
Ja
|
Ja
|
1. Under testingen av denne artikkelen noterte jeg meg store tregheter på enkelt websider dersom min Windows 7 ikke benyttet ISA Proxy. Dernest fikk jeg opp farten ved å slå av IP 6. Tror ikke dette er et generelt problem.
Tabell 6 – Retningslinjer for valg av ISA Server klient.
|
Retningslinjer for valg av klient
|
|
Hvis du trenger å
|
Bruk da
|
|
Unngå installasjon og konfigurasjon av programvare?
|
Secure NAT Client. Secure NAT klienter trenger ingen programinstallasjon eller spesifikke konfigurasjoner. ISA Server Firewall Client må installeres på klienter men den vil konfigurere Internett Exploerer. Når det gjelder Web Proxy så vil ISA Firewall Client konfigurere den. Dersom man bruker Secure NAT klient, så må brukere selv konfigurere innstillinger for å benytte Web Proxy.
|
|
Bruke ISA Server kun for å bruke web resurser som krever HTTP og HTTPS?
|
Secure NAT eller Web Proxy Client. Hvis du benytter Secure NAT klient i dette senarioet, trenger du ikke å installere programvare på klient computere. Dersom du i tillegg ønsker å benytte Web Proxy klient, vil det kreve konfigurasjon.
|
|
Autentisere brukere og grupper som skal nå internett, og få den høyeste grad av sikkerhet?
|
ISA Firewall Client eller Web Proxy Client. Når ISA Firewall Client benyttes kan ISA Server konfigureres til å autentisere brukere. Du kan også konfigurere bruker autentisering for Web Proxy klienter, men autentiseringen vil kun virke dersom web programmet kan overføre autentiseringsinformasjon til ISA Server.
|
|
Publisere tjenester som er lokalisert i det interne nettverket?
|
Secure NAT Client. Interne servere kan publiseres som Secure NAT klienter. Dette eliminerer nødvendigheten av å konfigurere spesielle konfigurasjonsfiler på serveren hvis tjenester skal publiseres.
|
|
Forbedre web ytelse i en IT miljø uten Windows operativsystemer?
|
Web Proxy eller Secure NAT Clients. Ikke Windows operativsystemer kan ikke konfigureres med ISA Firewall Client, men de kan konfigureres som Secure NAT eller Web Proxy klienter. Begge disse typene av klienter vil kunne oppleve bedre ytelse dersom ISA Server er konfigurert med caching.
|
ISA Server Firewall Client
Forutsetninger for å benytte ISA Server Firewall Client er:
- Windows operativsystem.
- Installert ISA Server Firewall Client.
- Access Rule(s) i ISA Server 2006 som kan være konfigurert med bruker autentisering.
Firewall Client gir det høyeste nivå av funksjonalitet og sikkerhet, men kreves installert på computere. Firewall Client vil automatisk være konfigurert som Proxy Client. Installasjon og brannmurregler vises i egne avsnitt. Installasjon på pc-er kan gjøres fra en delt katalog på SBS 2008.
Installasjon og konfigurasjon av ISA Server Firewall Client vises særskilt i følgende prosedyrer:
- Hvordan installere MS Firewall Client fra share på SBS 2008 side 130.
- Hvordan konfigurere Internett Explorer og ISA Server Firewall Client på en PC side 136
- Hvordan installere og stille inn Google Chrome for ISA Server 2006 på pc-er med ISA Server Firewall Client side 143.
- Hvordan installere og stille inn FireFox for ISA Server 2006 på pc-er med ISA Server Firewall Client side 150.
Secure NAT Client
Forutsetninger for å benytte denne klienten for internett kommunikasjon er som følger:
- Et korrekt konfigurert nettverskort på computeren.
- En Access Rule(s) i ISA Server 2006 som benytter All Users, dvs ingen bruker autentisering.
Særskilte bruksområder:
- Computere uten Windows operativsystem.
- Servere som trenger internett tilgang.
Denne klienten er lettest å konfigurer fordi man kun trenger å konfigurere nettverskortet på pc-en (klienten) korrekt. Denne konfigurasjonen utføres normalt av DHCP server på SBS 2008. I DHCP server ligger det informasjon om Default Gateway som er det interne nettverskortet på ISA Server, og DNS Server som er konfigurert på SBS 2008. Denne informasjonen overføres til nettverskortet på computere når disse er konfigurert til å motta ipadresse fra DHCP server.
Utover et korrekt konfigurert nettverskort trenger man også en eller flere Access Rules (Firewall Roules) i ISA Server 2006 som er konfigurert med brukertype All Users. Det betyr at Secure NAT klienter også får nytte av Application filters. Access Rule’s kan begrenses til computere en fast ipadresse eller lignende, konfigureres med protokoller, destination sets, Schedule og Content Types. Denne artikkelen inkluderer et eksempel på konfigurasjon av Secure NAT Access Rule til internett.
Dersom man ønsker å konfigurere en Secure NAT klient til også å være en Web Proxy klient må man utføre noen manuelle konfigurasjoner. I Internet Explorer gjøres dette ved å stille LAN-innstillinger for Proxy-server. Adressen må da være computernavnet til ISA Server, (i mitt tilfelle ISA01) og porten skal være 8080. For å stille dette i Internett Explorer, Start IE, velg Verktøy og Alternativer for Internet. Velg så fanen Tilkoblinger og klikk på LAN-innstillinger. Konfigurasjon av Access Rules for Secure NAT klienter vises i egne avsnitt.
De prosedyrene som behandler Secure NAT klienter er:
- Hvordan konfigurere Access Rule for DNS og NTP for SBS 2008 side 75.
- Hvordan konfigurere Secure NAT outbound access for SBS 2008 SMTP og POP3 side 180.
- Hvordan tillate SBS 2008 eller en annen server å kommunisere med en bestemt port eller websted side 188.
- Hvordan konfigurere Secure NAT for pc-er side 200.
Port konfigurasjoner for utgående trafikk i ISA Server 2006
SBS 2008s internett tilgang
SBS Server 2008 er en Secure NAT klient av ISA Server 2006 og har behov for å kommunisere med internett i den grad det ikke dreier seg om et lukket nettverk da. Trafikken som nå beskrives går fra SBS Lan til Internett.
For det første må SBS 2008 ha rett til å kontakte DNS servere på internett for å gi brukere DNS oppløsning, og tidsservere for å få stilt den interne klokken. Artikkelen vil derfor vise hvordan en brannmur regel kan konfigureres i ISA Server 2006 for å tillate DNS og NTP kommunikasjon.
For det andre må SBS 2008 kunne sende e-post fra Exchange Server 2007 med port SMTP 25 og POP3. Artikkelen må derfor vise hvordan disse porter åpnes for trafikk fra SBS 2008 til internett.
For det tredje så må WSUS på SBS 2008 ha kontakt med internett for å laste ned oppdateringer som patcher og servicepakker. Denne funksjonaliteten er innebygd i ISA Server 2006, og vi trenger ikke å åpne porter for dette, utover DNS som tidligere nevnt.
Tabell 7 – Porter som åpnes mellom SBS 2008 og internett.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
DNS (UDP 53)
|
Interne DomainControllers (SBS2008)
|
Internett (Root Hints eller ISP DNS servere)
|
Interne DomainControllers (SBS 2008)
|
Nei
|
Tillat
|
|
NTP (UDP 123)
|
Interne DomainControllers (SBS2008)
|
Internett, tidsserver
|
Interne DomainControllers (SBS2008)
|
Nei
|
Tillat
|
|
SMTP (TCP 25)
|
Exchange Server 2007 på SBS 2008
|
Internett
|
Server med Exchange 2007 (SBS 2008)
|
Nei
|
Tillat
|
|
POP3 (TCP 110)
|
Exchange Server 2007 på SBS 2008, POP3 Connector
|
Internett
|
Server med Exchange 2007 (SBS 2008)
|
Nei
|
Tillat
|
Beste praksis anses å være at servere ikke får fri Secure NAT tilgang til internett. Begrunnelsen for dette er at informasjon kan forlate servere uten autentisering av program eller bruker som overfører informasjonen til internett.
Når så overstående er nevnt kan det hende at man har programmer eller behov for at SBS Server 2008 skal kunne kontakte internett av andre årsaker. Det kan for eksempel dreie seg om oppdatering av antivirus definisjoner og lignende. Av den grunn kan man vurdere å benytte URL Sets eller Computer Sets for å tillate SBS 2008 (eller andre servere i domenet) å kontakte internett til på forhånd godkjente steder. Det er den sikreste konfigurasjonen, og den vil bli vist i artikkelen. Når det er nevnt kan man også åpne for fri internett trafikk for SBS 2008. Dette vil kun bli kommentert i artikkelen.
Prosedyren som behandler overstående problemstillinger er: Hvordan tillate SBS 2008 eller en annen server å kommunisere med en bestemt port eller websted side 188.
Tabell 8 – Porter som kan vurderes åpnet mellom SBS 2008 og internett.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
HTTP (TCP 80)
|
Interne DomainControllers (SBS2008)
|
Internett
|
Interne DomainControllers (SBS 2008)
|
Nei
|
Tillat
|
|
HTTPS (TCP 443)
|
Interne DomainControllers (SBS2008)
|
Internett
|
Interne DomainControllers (SBS 2008)
|
Nei
|
Tillat
|
1) Merk at listen ikke er uttømmende. Særskilte behov kan tilsi andre porter.
Kommunikasjon mellom ISA Server (W2K3) og SBS 2008
ISA Server 2006 er installert på en Windows Server 2003. ISA Server 2006 vil blokkere kommunikasjon mellom W2K3 og SBS 2008. Vi må derfor lage en regel som i det minste tillater W2K3 serveren å kontakte WSUS på SBS 2008 for å få oppdateringer og service pakker og lignende. Denne konfigurasjonen vil bli vist i artikkelen.
Tabell 9 – Porter som åpnes mellom ISA Server og SBS 2008.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
WSUS (TCP 8530)
|
W2K3 med ISA Server 2006
|
WSUS på SBS 2008
|
Intern W2K3 server med ISA
|
Nei
|
Tillat
|
Kommunikasjon fra pc-er til internett
Brukere har i dag behov for å kommunisere med internett. For å gjøre dette på tryggeste måte legger artikkelen opp til bruk av ISA Server Firewall Client. Denne kan installeres på pc-er fra en delt katalog på SBS Server 2008. Artikkelen vil kort vise hvordan dette kan settes opp, hvordan ISA Server Firewall Client kan installeres på pc-er og hvordan klienten konfigureres og konfigurere Internett Explorer. Det vil videre bli vist hvordan Google Chrome og FireFox kan installeres og konfigureres for å bruke ISA Server 2006.
For å kontrollere hvem som kan kontakte internett vil det konfigureres en sikkerhetsgruppe på SBS 2008 som brukere må være medlem av for internett adgang. Det vil videre konfigureres en brannmur regel for ISA Server Firewall Client slik at medlemmer i sikkerhetsgruppen autentiseres og gis tilgang til internett. Denne brannmur regelen utstyres med de porter som brukerne trenger. Aktuelle porter oppsummeres i tabellen under.
Tabell 10 – Forklaring på noen aktuelle porter for brukere av pc-er og terminalserver.
|
Aktuelle porter for Outbound Access for brukere (pc-er)
|
|
Port
|
Beskrivelse
|
|
HTTP – TCP 80
|
Vanlig internett tilgang.
|
|
HTTPS – TCP 443
|
Kryptert internett tilgang.
|
|
HTTPS - TCP 444 (1
|
Companyweb på Small Business Server 2003 (SBS 2003). Kommunikasjonen med SBS 2003 Companyweb er kryptert (HTTPS) over port 444. ISA Server 2006 støtter ikke dette pr default konfigurasjon. Særskilt rutine må benyttes for å legge til SSL support på denne porten. Se eget avsnitt i denne artikkelen.
|
|
HTTPS - TCP 987 (1
|
Companyweb på Small Business Server 2008 (SBS 2008). Kommunikasjonen med SBS 2003 Companyweb er kryptert (HTTPS) over port 444. ISA Server 2006 støtter ikke dette pr default konfigurasjon. Særskilt rutine må benyttes for å legge til SSL support på denne porten. Se eget avsnitt i denne artikkelen.
|
|
RDP TCP 4125
|
Terminal Server Proxy på Small Business Server 2003 (SBS2003).
|
|
RDP TCP 3389
|
Tilkobling til eksternt skrivebord.(Remote Desktop Connection) over standard port 3389. Dette er en nødvendig port dersom man skal benytte Remote Web Workplace over internett til en SBS 2003 server.
|
|
RDP TCP 3390
|
Tilkobling til eksternt skrivebord (Remote Desktop Connection) over alternativ port.
|
|
FTP TCP 20 / 21
|
FTP tilkobling.
|
|
POP3 (TCP 110)
|
Dette er en e-post protokoll for e-post klienter som benytter for eks Outlook.
|
|
SMTP (TCP 25)
|
Denne porten må også åpnes dersom skal får POP3 til å fungere på klinter.
|
1) Merk deg at ISA server 2006 kun er konfigurert for å benytte SSL over port 443. SBS 2003 og 2008 benytter SSL over port 444 og 987. For å få dette til å fungere må man legge disse portnumre til ISA servers liste over SSL porter. Sjekk: Hvordan legge til SSL porter i ISA Server 2006 utover port 443 side 157.
Tabell 11 – Porter som bør åpnes for pc-er til internett.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
HTTP – TCP 80
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
|
HTTPS – TCP 443
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
Tabell 12 – Eksempel på porter som kan vurderes åpnet for pc-er til internett (1.
|
Protokoll
|
Fra
|
Til
|
Brukere
|
Autentisering
|
Permission
|
|
SMTP (TCP 25)
|
Exchange Server 2007 på SBS 2008
|
Internett
|
Server med installert Exchange 2007 (SBS 2008)
|
Nei
|
Tillat
|
|
POP3 (TCP 110)
|
Exchange Server 2007 på SBS 2008, POP3 Connector
|
Internett
|
Server med installert Exchange 2007 (SBS 2008)
|
Nei
|
Tillat
|
|
PPTP (TCP 1723, GRE eller Protokoll. 47)
|
Pc-er
|
Internett og VPN server
|
Brukere
|
Ja / Nei
Medlemmer av sikkerhetsgruppe
|
Tillat
|
|
HTTPS - TCP 444 (2
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
|
HTTPS - TCP 987 (2
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
|
RDP TCP 4125
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
|
RDP TCP 3389
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
|
RDP TCP 3390
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
|
FTP TCP 20 / 21
|
SBS 2008 Lan
|
Internett
|
Medlemmer av sikkerhetsgruppen Adgang til internett
|
Ja
|
Tillat
|
1) Merk at listen ikke er uttømmende. Særskilte behov kan tilsi andre porter.
2) Merk deg at ISA server 2006 kun er konfigurert for å benytte SSL over port 443. SBS 2003 og 2008 benytter SSL over port 444 og 987. For å få dette til å fungere må man legge disse portnumre til ISA servers liste over SSL porter. Sjekk: Hvordan legge til SSL porter i ISA Server 2006 utover port 443 side 157.
Tips
Dersom servere og pc-er har behov for SSL porter utover https 443, må man benytte et utility program for å legge til disse portene i ISA server. Dette programmet beskrives i eget avsnitt. Sjekk: Hvordan legge til SSL porter i ISA Server 2006 utover port 443 side 157.
Intrusion Detection
ISA Server 2006 vil pr default være konfigurert med Intrusion Detection for å beskyttet nettverket mot Common Attacks fra internett som Windows out of band (WinNuke), Land, Ping of death, IP half scan, UDP bomb. ISA vil videre være default konfigurert for å beskytte mot DNS angrep som DNS host name overflow og DNS length overflow. I denne artikkelen utføres det ingen konfigurasjoner av dette utover de som er satt pr default.
Application Filtering og Web Filters
ISA Server 2006 vil pr default være konfigurert til å benytte det interne nettverket med applications filters som SMTP filter, http filter og RPC filter. Når ulike tjenester som for eks SMTP server publiseres til internett vil disse filtrene bla beskytte mot kommandoer som buffer overflow angrep. På samme måte vil Web Filtre beskytte publiserte webtjenester (SBS 2008) for diverse angrep. I denne artikkelen utføres det ingen konfigurasjoner av disse filtre utover det som pr default er konfigurert.
Web Caching
I Liten IT Løsning kan man med fordel benytte Web caching egenskapene til ISA Server 2006. Artikkelen vil derfor vise hvordan denne kan slås på og hvordan man kan regulere mengden av caching som gjøres i memory på ISA Server. ISA Server 2006 er pr default konfigurert med cache rule for Microsoft Update, og en default rule. Disse regler vil benyttes når cache’en slås på.
Logging
ISA Server 2006 vil pr default foreta logging til en MSDE 2000 instans. Loggingen omfatter firewall service, packet filters og web proxy service. Artikkelen vil ikke behandle logging i det default konfigurasjonen anses tilstrekkelig i Liten IT Løsning. Artikkelen vil imidlertid vise hvordan man begrenser og tilpasser memoryforbruket til ISA Server MSDE 2000 databasen.
Monitoring og Alerting
ISA Server 2006 er ikke pr default konfigurert til å varsle IT personell om kritiske hendelser på ISA Server 2006. I Liten IT Løsning er det en fordel om IT personell varsles om feilede tjenester i brannmuren, DoS angrep, SMTP kommando regelbrudd (violation) og network intrusion. Artikkelen omfatter derfor konfigurasjonen av dettet og viser hvordan Exchange Server 2007 kan konfigureres for å sende e-post fra ISA Server 2006.
Connectivity Verifiers’
SBS Server 2008 er godt utstyrt med varslingsmekanismer for feil på tjenester og websteder. Av den grunn er det liten grunn til å konfigurere Connectivity Verifiers’ i ISA Server 2006. Artikkelen vil likevel dekke dette fordi Connectivity Verifiers’ kan benyttes til bla å holde webstedene på SBS Server 2008 aktive, slik at disse er ”snappige” når de kontaktes fra internett. Artikkelen omfatter derfor konfigurasjon av Connectivity Verifiers’ mot Remote Web Workplace og Companyweb.
Rapportering
ISA Server 2006 kan konfigureres til daglig, ukentlig og månedlig rapportering. Artikkelen omfatter en prosedyre for konfigurasjon av Ukerapport fra ISA Server 2006, og viser hvordan Exchange Server 2007 kan konfigureres for å kunne distribuere rapporten pr e-post.
Lykke til!
Dag Staale Jenssen
24.10.2009
ArtDSJ073