Zu den überzeugendsten Argumenten für Microsofts Firewall auf Anwendungsebene (Internet Security and Acceleration Server 2004 - ISA) gehört, dass die Firewall je nach Anforderung an unterschiedlichen Stellen im Unternehmensnetzwerk plaziert werden kann.

Diese Flexibilität ermöglicht Ihnen eine hochwertige Filterung auf Anwendungsebene mit minimalen Auswirkungen auf Ihre aktuelle Firewall- und Routinginfrastruktur. Unabhängig von der Position der ISA Server 2004-Firewall im Netzwerk sind Ihre Server mit Microsoft Exchange Server auf diese Weise hervorragend geschützt.

Zu den wichtigsten Features beim Einsatz von ISA Server 2004 zählt der positionsunabhängige, technisch ausgereifte Schutz sämtlicher Microsoft-Netzwerkserver und -dienste auf Anwendungsebene. Mit ISA Server sind Sie gegen folgende Angriffsarten geschützt:

  • HTTP-Angriffe: Code Red, Nimda, HTR-Überläufe, Directory Traversal-Angriffe, Pufferüberläufe, Chunked Transfer Encoding-Angriffe, siteübergreifende Skripterstellung, zerstörerische URLs, zerstörerische HTTP-Inhalte, Codierung mit hoher Bitrate, WebDAV-Angriffe.
  • SMTP-Angriffe: Spamüberflutung, zerstörerische Anhänge, SMTP-Pufferüberläufe, SMTP Disk Flood DoS-Angriff, Spammer/Open Relay-Angriff, Brute Force Closed Relay-Angriff, zahlreiche Würmer und Wurmvarianten.
  • DNS-Angriffe: DNS-Zonentransfer von nicht vertrauenswürdigen Quellen, DNS-Pufferüberläufe, ungültige DNS-Abfragen, ungültige DNS-Pakete.
  • POP3-Angriffe: POP3-Pufferüberläufe, ungültige POP3-Befehle.
  • RPC-Angriffe: Blaster, Blaster Varianten, Nachi, RPC-Wurmvartianten und -Morphs.

ISA Server 2004-Firewall ermöglicht Ihnen darüber hinaus in allen vorgestellten Szenarien:

  • den Zugriff auf sämtliche ausführbare Windows-Dateien blockieren.
  • den Zugriff auf Websites anhand von Schlüsselwörtern für Webseiten und URLs zu blockieren.
  • den Zugriff auf Websites anhand von Signaturen in Anfrage-/Antwortheadern und -daten zu blockieren.
  • einen verschlüsselten Kanal für den sicheren Remotezugriff von Exchange-RPC-Outlook-Clients zu erzwingen.
  • FTP-Downloads für bestimmte Benutzer zu blockieren bzw. freigeben.
  • nur bestimmte HTTP-Methoden (PUT, GET usw.) freizugeben und alle übrigen generell oder für bestimmte Benutzer bzw. Benutzergruppen zu blockieren und den Zugriff damit präzise zu steuern.
  • strenge RPC-Regeln durchzusetzen, um RPC-Würmer sofort bei Ankunft an der ISA 2004-Firewall in das und aus dem Firmennetzwerk gelangen.

Wenn ISA Server mit der Verwendung einer einzelnen Netzwerkkarte konfiguriert ist, sind nicht alle Schutzmechanismen auf Anwendungsebene verfügbar. In diesem Fall schützt ISA Server lediglich vor HTTP-basierten Angriffen.

In der vergangenen TechNet Seminarreihe "Sichere Exchange Veröffentlichung mit dem Internet Security and Acceleration Server 2004", haben wir neben der sicheren Veröffentlichung von Outlook Web Access (OWA) noch zwei weitere Möglichkeiten des Zugriffes mit Outlook 2003 via RPC gezeigt. Zum einen den reinen Zugriff via RPC, zum anderen haben wir RPC über HTTP (abgesichert mit SSL) demonstriert. Nun habe ich diesbezüglich einige Anfragen erhalten und möchte hiermit die Gelegenheit nutzen die Unterschiede noch einmal aufzuzeigen.

Zunächst gilt:

Important: Do not confuse client access over RPC with access through RPC over HTTP. If you are going to publish RPC over HTTP, do not select RPC in the following step.

Welche unterschiede existieren bei den beiden Varianten?

Clientzugriff via RPC (Serververöffentlichung am ISA Server 2004):

  • Authentifizierung am Exchange Server
  • Nicht möglich mit "single NIC" beim ISA
  • Exchange RPC Filter ist aktiv (Verschlüsselung optional)

Der RPC-Filter kann auch eingesetzt werden, um sichere RPC-Verbindungen von Outlook MAPI-Clients zu erzwingen. Beim Aktivieren dieser Funktion müssen Verbindungsanforderungen von Outlook-MAPI-Remoteclients über einen sicheren, verschlüsselten Kanal übertragen werden. Falls die Verbindung nicht gesichert ist, wird die Clientanforderung von ISA Server verworfen. Auf diese Weise kann ISA Server anstelle der Benutzer die Sicherheitsstufe regulieren.

Clientzugriff via RPC über HTTP (abgesichert mit SSL über ISA Server 2004):
Wehrt die Angriffe auf E-Mail-Server ab, denn dank der SSL-Verschlüsselung (Secure Sockets Layer) kann SSL-Datenverkehr nach gefährlichem Code durchsucht werden (SSL Bridging). Darüber hinaus ist durch die HTTP-Filterung eine gründliche Überprüfung von Anwendungsinhalten gewährleistet. Durch die Vorauthentifizierung in ISA Server 2004 werden zudem anonyme Benutzeranmeldungen verhindert - eine wichtige Voraussetzung für den Schutz interner Server.

  • Authentifizierung am ISA
  • Ist möglich im "single NIC" Anwendungsfall
  • benötigt SSL Zertifikat
  • Client benötigt mindestens Outlook 2003 und Windows XP SP1
  • Serverseitig benötigt Exchange 2003 und Windows Server 2003
  • keine RPC Filterung
  • Filterung via HTTP Filter

Also: Der RPC-Filter gilt nur für den RPC-Datenverkehr (einschließlich benutzerdefinierter RPC-Protokolle). Er gilt jedoch nicht für RPC-Datenverkehr, der über ein anderes Protokoll getunnelt wird. Dieser Filter betrifft beispielsweise nicht RPC über HTTP oder RPC über XML.

Weitere Anfragen haben mich zum Thema "Einzelner Netzwerkadapter im ISA" erreicht. Bei Anwendung der Einzelnetzwerkadapter-Netzwerkvorlage wird das interne Netzwerk so konfiguriert, dass es alle IP-Adressen enthält. Die Firewallrichtlinie Standardwebproxy- und -zwischenspeicherkonfiguration verwenden wird angewendet. Diese Richtlinie gestattet Webproxyclients den Zugriff auf Webinhalte im Internet und erhöht die Webleistung durch Zwischenspeicherung. Es werden jedoch keine Regeln erstellt.

Funktionsumfang im Einzeladaptermodus:
Bei der Installation von ISA Server auf einem Computer mit einem einzelnen Adapter können die folgenden ISA Server-Funktionen nicht verwendet werden:

  • Firewallclients
  • Virtuelle private Netzwerke
  • Firewallrichtlinie für mehrere Netzwerke
  • Serververöffentlichung
  • Filterung auf Anwendungsebene (mit Ausnahme der Protokolle mit Webproxyunterstützung: HTTP, HTTPS und FTP über HTTP)
  • Statusbehaftete Paketfilterung
  • IP-Paketfilterung

Daraus ergibt sich eine eingeschränkte Sicherheitsfunktion von ISA Server in Ihrem Netzwerk. Für die von uns gezeigten Beispiele bedeutet das, Clientzugriff via RPC (Serververöffentlichung am ISA Server 2004) ist mit einem einzelnen Netzwerkadapter nicht möglich. Dagegen ist der Clientzugriff via RPC über HTTP (abgesichert mit SSL über ISA Server 2004) auch mit nur einem Netzwerkadapter im ISA Server 2004 möglich!

Weitere Informationen zu den entsprechenden Themen finden Sie hier:

Zu den beiden Themenbereichen sind bereits einige Webcasts verfügbar:

cu
//.<