1 / 19

امن سازی در isa server

بسم الله الرحمن الرحیم. امن سازی در isa server. گردآورنده : نیما حسینی شکرآبی. سرور آی‌اس‌ای مایکروسافت.

annora
Download Presentation

امن سازی در isa server

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. بسم الله الرحمن الرحیم امن سازی در isa server گردآورنده : نیما حسینی شکرآبی

  2. سرور آی‌اس‌ای مایکروسافت • سرور آی‌اس‌ای مایکروسافت (Internet Security And Acceleration Server) که مخفف آن ISA Server است. نرم‌افزاری محصول شرکت مایکروسافت است که به منظور افزایش امنیت در ارتباطات اینترنتی و دسترسی سریعتر به شبکه وب طراحی و پیاده سازی شده‌است. • این نرم‌افزار دیواره آتش قابل اجرا و پیاده‌سازی تحت سیستم‌عامل ویندوز است و توانایی‌های حفظ امنیت برای شبکه‌های تقریباً بزرگ را دارد. • امکانات ISA Server: ISA سرور یک دیواره آتش پیشرفته Stateful Packet, Application Layer ، VPN و دارای امکان Cachمی‌باشد که به مدیر شبکه محیط‌های بزرگ اجازه می‌دهد مدیریت را به بهترین نحو هم در کارایی و هم در امنیت به کار گیرد.ISA سرور دارای امنیت بسیار بالا، استفاده آسان، سریع و امکان برقراری ارتباط بین شبکه‌های مختلف می‌باشد.

  3. امکانات • ۱: ایجاد دسترسی امن به اطلاعات داخلی شبکه برای کاربران خارجی: ISA بوسیله قوانین Server Publish وWeb و نظارت کردن بر ترافیک تبادل شده می‌تواند ارتباط امنی بین منابع و سرورهای داخل شبکه با خارج از شبکه بر قرار نماید. • ۲: کنترل کردن دسترسی به اینترنت و حفاظت کامپیوترها از ترافیک مزاحم:ISA قابلیت یکپارچه شدن و اتصال به Active Directory را دارد و اجازه می‌دهد تا مدیر شبکه دسترسی‌های جداگانه‌ای برای گروه‌های مختلف برای دسترسی به اینترنت اعمال کند. در ضمن فیلتر کردن در Stateful application-layer به ISA این توانایی را می‌دهد که شبکه و سرورها را از حملات پیشرفته محافظت نماید. • ۳:اطمینان در دسترسی سریع به سایت‌هایی که قبلاً دیده شده‌اند امکان Cache کردن در ISA باعث می‌شود تا در پهنای باند اینترنت به مقدار زیادی صرفه جویی شود.در ISA Enterprise امکان پشتیبانی از Cache Array Routing Protocol می‌باشد که باعث می‌شود تادسترسی به سایت‌ها با سرعت و اطمینان بیشتر و با Fault Tolerance و Load Balancing باشد. • ۴: فراهم کردن High a validity, Real Time Failover, Load Balancing برای ارتباط داخلی و خارجی: در ISA 2006 Enterprise قابلیت استفاده از NLB فراهم شده که باعث می‌شود که زمان فعال بودن آن را بسیار بالا ببرد. این امکان باعث می‌شود تا در صورتی که یکی از ISA سرورها خراب شود ترافیک از روی آن به صورت خودکار به سروری که در حال کار می‌باشد منتقل شود.

  4. امکانات • ۵:فشرده سازی برای سرعت دادن به دسترسی به اینترنت و کم کردن استفاده از پهنای باند. • به عبارتی دیگر این نرم‌افزار یک دروازه امنیتی است که شبکه را از دسترسی هکرها و کرمهای مزاحم موجود که به طرق مختلف به شبکه دسترسی دارند.مصون می‌دارد و این کار را از طریق فیلتر کردن در سطحapplication و پاکتهای داده انجام می‌شود. در شبکه دادها برای انتقال به بخشهای کوچکتری شکسته می‌شوند که در اصطلاح به آنها پاکت گفته می‌شود.آمارها نشان می‌دهد که این نسخه ISA Server، یازده بار سریعتر از نسخه پیشین خود یعنیMicrosoft proxy server است. • ISA Server در محیط‌هایی با سیستم‌عامل‌های مختلف کار می‌کند، ولی در عین حال بیشترین بهره وری را در کار با سیستم‌عامل ویندوز دارد.ISA Serverدر کنار امکانات موجود در سیستم‌عامل ویندوز از قبیلMicrosoft active directory و VPN(Virtual Private Network) و در اجتماع با آنها به کارایی بالاتر و مدیریت بهتر در شبکه کمک می‌کند. cache کردن یا به عبارتی ذخیره سازی دادها از طریقISA Serverو پاسخ دادن به درخواست‌های که دادهای آنها در Web cache موجود است. ترافیک در شبکه اینترنت را کاهش داده که این باعث کاهش ازدحام در شبکه و افزایش میزان پهنای باند برای پاسخ دهی بهتر به دیگر درخواست‌ها در شبکه می‌شود.ISA Serverدسترسی به شبکه را در موارد مختلف از قبیل زمان، دسترسی کاربران، نوعapplicationها و.... محدود می‌کند و این کار کیفیت مدیریت در شبکه را ارتقا می‌دهد در نهایت ISA Server محصول قابل توجهی از سوی شرکت مایکروسافت است که در زمینه امنیت در شیکه‌ها ارائه شده‌است. • Microsoft بعد از ISA Server 2006 نسخه دیگری را در سال 2010 ارایه کرد که Microsoft Forefront TMG 2010 نام دارد .

  5. اهمیت وجود ISA server • سایت مایكروسافت برای بررسی اهمیت وجود ISA در یك شبكه، كلیه راه‌حل‌های این برنامه را كه با استفاده از سرویس‌ها و امكانات ویژه موجود در آن، ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم كرده كه به آن‌ها می‌پردازیم.

  6. ● سناریوی اول‌ • از ISA برای تأمین امنیت ایمیل ها استفاده می شود. ISA SERVER با استفاده از دو روش استاندارد یعنی SSL DECRYOTION و همچنین HTTP FILTERING اولا از ورود کد های مشهور به MALICIOUS که عمدتا بدنه انواع کرم ها و ویروس ها را می سازند جلوگیری به عمل می آورد و ثانیا محتوای در خواست های HTTP را برای بررسی مجوز دسترسی آن ها و صلاحیت دریافت و ارسال اطلاعات مورد کنکاش قرار می دهد .در این حالت ISA همچنین از هر نوع اتصال افراد با اسم کاربردی ANONYMOUS که می تواند منشأ شکستن رمز عبور های مجازی یک سرویس دهنده ایمیل شود جلوگیری می کند. به هر حال با وجود این که یک ایمیل سرور مثل Exchange راه حل های امنیتی مخصوص به خود را دارد اما وجود ISA به عنوان دیواره آتش، یک نقطه قوت برای شبکه به حساب می آید. ضمن این که در نسخه های جدید ISA امکان ایجاد زنجیره ای از سرور های ISA که بتوانند با یک سرور Exchange در تماس بوده و در خواست های کاربران را با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اکنون به ISA عنوان فایروالی که با قدرت انجام توازن بار ترافیکی، سرعت بیشتری را در اختیار کاربران قرار می دهد در نظر گرفته شود.

  7. سناریوی دوم • ISA می تواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفاده قرار گیرد. در این سناریو ، یک شرکت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده کاربران خارج از سازمان قرار می دهد.به عنوان مثال بسیاری از شرکت ها مسائل تبلیغاتی و گاهی اوقات سیستم سفارش دهی خود را در قالب اینترنت و یا اینترانت برای کاربران باز می گذارند تا آن ها بتوانند از این طریق با شرکت ارتباط برقرار نمایند. در این صورتISA می تواند به صورت واسط بین کاربران و سرویس های ارائه شده توسط وب سرور یا بانک اطلاعاتی SQL SERVER که مشغول ارائه سرویس به محیط خارج است قرار گرفته و بدین وسیله امنیت دسترسی کاربران به سرویس های مجاز و حفاظت از منابع محرمانه موجود در سیستم را فراهم آورد. 

  8. سناریوی سوم  • در این سناریو، دو شبکه LAN مجزا متعلق به دو شرکت مختلف که در برخی موارد همکاری اطلاعاتی دارند توسط فضای اینترنت و از طریق سرور ها و دروازه های VPN با یکدیگر در ارتباط هستند. به عنوان مثال یکی از شرکای یک شرکت تجاری، محصولات آن شرکت را به فروش رسانده و درصدی از سود آن را از آن خود می کند. در این روش به صورت مداوم یا در ساعات معینی از شبانه روز امکان رد و بدل نمودن اطلاعات بین دو شرکت مذکور وجود دارد. در این زمان ISA می تواند با استفاده از روش ENCRYPTION از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری کند.در حالی که هیچکدام از دو طرف احساس نمی کنند که فضای حایلی در این VPN مشغول کنترل ارتباط بین آنهاست.به علاوه این که با وجود ISA کاربران برای اتصال به سایت یکدیگر باید از دو مرحله Authentication ) احراز هویت) یکی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور کنند که در این حالت یکی از بهترین شیوه های بر قراری امنیت در شبکه های VPN است.  • در این سناریو ، وجود یک ISA SERVER تنها در طرف سایت اصلی یک شرکت می تواند مدیریت برقراری امنیت در کل فضای VPN هر دو طرف را به عهده گیرد و با استفاده از دیواره آتش لایه Application از عبور کد های مشکوک جلوگیری کند. 

  9. سناریوی چهارم  • در سناریوی چهارم ، یک شرکت قصد دارد به عنوان مثال تعدادی از کارمندان خود را قادر به کار کردن با سیستم های درونی شرکت از طریق یک ارتباط VPN اختصاصی بنماید.در این حالت برای دسترسی این قبیل کارمندان به سرویس شرکت و عدم دسترسی به سرورهای دیگر یا جلوگیری از ارسال ویروس و چیزهای مشابه آن ، یک سد محکم به نام ISA ترافیک اطلاعات ارسالی و یا درخواستی را بررسی نموده و در صورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب، آن ارتباط را مسدود می کند.

  10. سناریوی پنجم  • سناریوی بعدی زمانی مطرح می شود که یک شرکت قصد دارد با بر پایی یک سیستم مرکزی در محل اصلی شرکت، سایر شعبات خود را تحت پوشش یک سیستم (مثلا یک بانک اطلاعاتی) متمرکز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شرکت از طریق VPN مطرح می شود.در این صورت ISA با قرار داشتن در سمت هر شعبه و همچنین دفتر مرکزی به صورت آرایه ای از دیوارهای آتش ( Array Of Firewall ) می تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مرکزی شرکت و بالعکس را زیر نظر داشته باشد . این مسأله باعث می شود تا هر کدام از شعبات و دفتر مرکزی به منابع محدودی از یکدیگر دسترسی داشته باشند . در ضمن با وجود امکان مدیریت و پیکر بندی متمرکز کلیه سرورهای ISA نیازی به مسئولین امنیتی برای هر شعبه نیست و تنها یک مدیر امنیت از طریق ISA سرور موجود در دفتر مرکزی می تواند کلیه ISA سرورهای شعبات را تنظیم و پیکر بندی کند. 

  11. سناریوی ششم  • کنترل دسترسی کاربران داخل دفتر مرکزی به سایت های اینترنتی ، سناریوی ششم کاربرد ISA محسوب می شود. در این جا ISA می تواند به کمک مدیر سیستم آمده و سایت ها ، لینک ها ی URL و یا انواع فایل ها یی که از نظر وی نامناسب تشخیص داده شده را مسدود کند. در همین هنگام فایروال نیز کار خود را انجام می دهد و با استفاده از سازگاری مناسبی که بین ISA و Active Messing ویندوز وجود دارد اولا از دسترسی افراد غیر مجاز یا افراد مجاز در زمان های غیر مجاز به اینترنت جلوگیری شده و ثانیا می توان از اجرا شدن برنامه هایی که پورت های خاصی از سرور را مثلا جهت استفاده برنامه های Instant Messaging مورد استفاده قرار می دهند جلوگیری نمود تا بدین وسیله ریسک ورود انواع فایل های آلوده به ویروس کاهش یابد . 

  12. سناریوی هفتم  • در تمام سناریوی قبلی که ISA در بر قراری ارتباط مناسب و امن بین سایت های اینترنت , کاربران یا شعبات شرکت نقش مهمی را ایفا می کرد یک سناریوی دیگر نیز نهفته است و آن سرعت انتقال اطلاعات بین تمام موارد فوق از سایت های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم Array Cache موجود در این برنامه باعث می شود تا هر کدام از کاربران چه در محل اصلی شرکت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایت های مشابه راه میان بر را رفته و آن را از هر کدام از ISA های موجود در شبکه VPN یا LAN دریافت کنند و بدین وسیله حجم انتقال اطلاعات با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند. 

  13. عملکرد • ISA SERVER کلیه سناریوهای تعیین شده را بر اساس سه قاعده مختلف یعنی سیستم، شبکه و دیواره آتش محقق می سازد که در این جا به این سه قاعده اشاره می کنیم: Network Rule -1ISA SERVER با استفاده از قوانین شبکه ای موجود و تعریف شده در بانک اطلاعاتی خودش نحوه ارتباط دو یا چند شبکه را به یکدیگر در یک فضای معین مشخص می سازد. در این قاعده که توسط مدیر سیستم قابل تنظیم است مشخص می گردد که شبکه های مورد نظر طبق کدام یک از دو روش قابل طرح به یکدیگر متصل می شوند . این دو روش عبارتند از: 

  14. الف- NAT (Network Address Translation) • این روش، یک ارتباط یک طرفه و منحصر به فرد است. بدین معنی که همیشه یکی از شبکه ها نقش شبکه اصلی و داخلی (Internal) و بقیه شبکه ها نقش شبکه های خارجی (External) را بازی می کنند. در این روش شبکه داخلی می تواند قوانین و شیوه دسترسی به اطلاعات و رد و بدل شدن آن ها در فضای بین شبکه ها را تعیین کند ولی این امکان از سایر شبکه های خارجی سلب گردیده و آن ها تابع قوانین تعریف شده در شبکه داخلی هستند. در این روش همچنین ISA آدرس IP کامپیوترهای مبدا یک ارتباط NAT را به وسیله عوض کردن آن ها در IP خارجی خودش از دید کامپیوترهای یک شبکه (چه کامپیوترهای متصل از طریق LAN و چه کامپیوترهای خارجی ) مخفی می کند. به عنوان مثال مدیر یک شبکه می تواند از ارتباط بین کامپیوترهای متصل شده از طریق VPN را با اینترنت از نوع یک رابطه NAT تعریف کند تا ضریب امنیت را در این ارتباطات بالا ببرد. 

  15. ب- Rout  • این نوع ارتباط یک ارتباط دو طرفه است. بدین معنی که هر دو طرف می توانند قواعد امنیتی خاصی را برای دسترسی شبکه های دیگر به شبکه محلی خود تعریف کنند. به عنوان مثال ارتباط بین شبکه های متصل شده به یکدیگر در فضای VPN می تواند یک ارتباط از نوع Rout باشد. با توجه به این مسائل، ارتباطات فایل اطمینان یک شبکه با شبکه های مجاور ) مثل شعبات شرکت ) می تواند از طریق Rout و ارتباطات محتاطانه شبکه با کاربران خارجی و کسانی که از طریقRadius یا وب به شبکه دسترسی دارند می تواند از نوع NAT تعریف شود. 

  16. Firewall Rule -2 • علاوه بر نقش مستقیمی که سیاست های تعریف شده در قواعد دیواره آتش در نحوه ارتباط بین شبکه ها بازی می کند و می تواند موجب مسدود شدن ارتباطات خارج از قواعد تعریف شده در Network Rule شود، این قواعد همچنین می تواند با تعریف دقیقی که از پروتکل های HTTP , FTP , ONS , RPC و …انجام می دهند کلیه درخواست ها از انواع مذکور را زیر نظر گرفته و به عبارتی فیلتر نمایند. در این روش مدیر امنیت شبکه می تواند امکان دسترسی تعدادی از کاربران را در ساعات خاص و به محتوای مشخص مجاز یا غیر مجاز کند. به عنوان مثال وی می تواند تصاویر موجود بر روی صفحات وب را از طریق فیلتر کردن فهرستی از پسوندهای انواع فایل های گرافیکی در یک قاعده از نوع HTTPمسدود کند در حالی که کاربران همچنان بتوانند آن فایل ها را از طریق پروتکل دیگری مثل FTP دریافت یا ارسال کنند. همچنین در قواعد مربوط به فایروال می توان دسترسی کاربران یا گروه های کاربری را به تعدادی از آدرس های URL یا IP های مشخص مسدود کرد. ضمن آنکه قواعد مربوط به نحوه دسترسی کاربران برای انجام اموری مثل انتشار صفحات وب (Web Publishing)و امثال آن هم در همین جا تعریف می گردد. 

  17. System Rule -3  • در این قسمت بیش از سی قاعده مربوط به دسترسی وجود دارد که قابل انتساب به شبکه محلی می باشند. این قواعد نحوه ارتباط سرویس های یک شبکه را با یکدیگر و همچنین با ISA مشخص می نماید. به عنوان مثال سرویس DHCP که کلیه درخواست ها و پاسخ های مربوط به انتساب دینامیک آدس IP به کامپیوترهای یک شبکه را مدیریت می کند یا سرویس DSN که وظیفه ترجمه اسامی و آدرس های شبکه را انجام می دهد مورد استفاده ISA قرار گرفته تا بتواند هم موقعیت خود در شبکه و با سرور هایی که سرویس های فوق را ارائه می دهند تشخیص دهد و هم با اطلاع از نحوه پیکر بندی شبکه و ارتباط آن با محیط خارج اقدام به کنترل آن از طریق قواعد مربوط به شبکه و دیواره آتش بنماید. به طور کلی سیاست های موجود در قواعد سیستمی، روابط میان ISA ، سایر منابع و سرورهای موجود در شبکه را مشخص می نمایند.

  18. فقط پرسپولیس ONLY PersePolis

  19. پایان END

More Related