computerwoche.de

Archiv

Neue Sicherheitsfunktionen für ISA-Server

Microsoft drängt ins Firewall-Geschäft

16.11.2001
Anders als noch der "Proxy Server 2.0" umfasst der "Internet Security and Acceleration Server 2000" (ISA-Server) eine vollständige Firewall. Betrachtet man den erheblichen Funktionsumfang sowie die inzwischen zahlreichen Zusatzmodule von Drittherstellern, so lässt sich absehen, dass Microsoft in den Revieren von Checkpoint & Co wildern wird. Von Michael Pietroforte*

Im Wesentlichen besteht der ISA-Server aus zwei Komponenten, die auch einzeln installiert werden können, dem Proxy-Server und der Firewall. Der Proxy unterstützt außer HTTP, HTTPS und FTP auch noch das etwas aus der Mode gekommene Gopher-Protokoll. Eine wesentliche Aufgabe für einen Proxy-Server besteht üblicherweise darin, durch das Zwischenspeichern von Daten den Internet-Zugriff zu beschleunigen. Microsoft verspricht mit dem "Active Caching" diesbezüglich gute Ergebnisse. Jene Objekte, die vom Anwender häufig angefordert werden, erneuert der ISA-Server nach bestimmten Zeitabständen automatisch in seinem Cache. Über einen Zeitplan können außerdem ganze Websites in regelmäßigen Abständen lokal verfügbar gemacht werden. Der Cache des ISA-Server lässt sich aber auch von externen Anwendern nutzen. Beim Reverse-Caching werden externe Zugriffe auf die internen Web-Server des eigenen Unternehmens über entsprechende DNS-Einträge auf den Proxy gelenkt, welcher sich wiederum die Inhalte vom Web-Server holt. Dies bietet vor allem Schutz vor direkten Angriffen aus dem Internet.

Cache denkt mitDie Enterprise-Version verbessert vor allem die Skalierbarkeit des Caching-Systems. Sie ermöglicht den Aufbau von Arrays, einem Zusammenschluss mehrerer ISA-Server. Für den Abgleich der Cache-Inhalte untereinander kommt das Cache Array Routing Protocol (Carp) zum Einsatz. Das in der Proxy-Welt übliche ICP (Internet Cache Protocol) wird vom ISA-Server leider nicht unterstützt, so dass seine Integration in heterogene Umgebungen schwer fällt. Allerdings ist Carp in technischer Hinsicht überlegen. Während bei ICP zunächst alle Nachbar-Proxies über die Verfügbarkeit eines Objekts in ihrem Cache befragt werden müssen, wird bei Carp schon bei der Ablage darüber bestimmt, wo das Objekt am günstigsten zu speichern ist. So ist jeder Proxy im Array über den physikalischen Speicherort eines bestimmten Objekts informiert, was den Kommunikationsbedarf unter den Array-Mitgliedern deutlich reduziert. Neue Array-Mitglieder können nachträglich hinzugefügt werden und sind bei Bedarf auch kaskadierbar. Die Fehlertoleranz wird durch dieses Verfahren ebenfalls erhöht. Der Ausfall eines ISA-Servers wird vom Array registriert und entsprechend berücksichtigt.

Für die Firewall-Komponente des ISA-Servers bringt die Enterprise-Edition neben der höheren Verfügbarkeit vor allem den Vorteil des unternehmensweiten Richtlinien-Managements mit sich. Die Firewall-Regeln können zentral definiert werden und sind dann für die Arrays an den verschiedenen Standorten bindend. Administratoren eines Arrays vor Ort kann aber das Recht auf strengere Richtlinien eingeräumt werden.

In Bezug auf die Filtermöglichkeiten gibt es keinen Unterschied zwischen der Standardausgabe und der Enterprise-Version. Die Filter des ISA-Server operieren auf drei Ebenen. Auf der untersten Ebene befinden sich die IP-Paketfilter, die aber für jedes Array einzeln zu definieren sind. Sie werden hauptsächlich für IP-Protokolle, die nicht auf TCP oder UDP aufsetzen, also etwa für ICMP, verwendet. Für einen Großteil der Regeldefinitionen wird man jedoch die so genannten Protokollregeln einsetzen. Dabei handelt es sich um die von Checkpoints Firewall-1 bekannten zustandsbasierten UDP/TCP-Filter, die es internen Maschinen erlauben, dynamisch einzelne Ports zu öffnen.

Filter regeln ZugriffeAuf der obersten Ebene befinden sich die Content-Filter. Über sie lässt sich der HTTP-Zugriff von internen Maschinen auf externe Inhalte beschränken. Dies kann über Mime-Typen oder über Dateinamen-Erweiterungen erfolgen. Ebenfalls auf der Anwendungsebene agieren die Applikationsfilter. Im Unterschied zu den anderen Filtertypen lassen sich diese nicht definieren, sondern müssen zusätzlich von Drittanbietern erworben werden. Einige dieser Filter bringt der ISA-Server aber schon mit. So zum Beispiel einen einfachen SMTP-Filter, der Attachments anhand der Größe oder der Extension des Dateinamens herausfiltern kann, unerwünschte Absenderadresse oder Mails mit bestimmbaren Schlüsselwörtern blockiert, oder auch SMTP-Kommandos untersagt, die für Angriffe genutzt werden können. Inzwischen gibt es eine Vielzahl von Softwareherstellern, die Erweiterungen dieser Art für den ISA-Server liefern. Weitere typische Anwendungen sind Antivirensysteme oder Content-Filter, die mit Hilfe von Schlüsselbegriffen den Web-Zugriff beschränken. Mit Hilfe des mitgelieferten Software Development Kits können diese Erweiterungen auch selbst programmiert werden. Überdies lässt sich so die gesamte Konfiguration des ISA-Servers mit Skripten steuern.

Das dem ISA-Server zugrunde liegende Firewall-Konzept beruht auf Network Address Translation (NAT). Da auf diese Weise die IP-Adressen der internen Computer für externe Systeme nicht sichtbar werden, erhöht dies zweifellos die Sicherheit, kann aber zu einer Reihe von Problemen führen. Beispielsweise verweigern Protokolle wie Ipsec, die IP-Adressen verschlüsselt einbetten, komplett den Dienst, andere Protokolle, die sekundäre Verbindungen aufbauen, wie etwa FTP, können zumindest mit Hilfe von Applikationsfiltern auch mit NAT eingesetzt werden. Der ISA-Server bringt einen FTP-Filter bereits mit.

Der mitgelieferte Firewall-Client, der sich auch mit Hilfe des Active Directory automatisch in der Domäne verteilen lässt, behebt dieses Problem auch für anspruchsvolle Protokolle aus dem Multimedia- oder Spielebereich.

Ein weiterer Vorteil des Firewall-Clients stellt die Möglichkeit dar, benutzerbasierte Sicherheitsrichtlinien zu erlassen. So kann beispielsweise die Verwendung bestimmter Protokolle auf einzelne Benutzer oder Gruppen aus einer Windows-Domäne eingeschränkt werden. Allerdings ist der Firewall-Client nur für Windows 95/98/ ME und Windows NT/2000 verfügbar. Für andere Betriebssysteme sind benutzerbasierte Richtlinien nur unter Einsatz des Proxy-Dienstes des ISA-Server möglich und daher auf Browser-Anwendungen beschränkt.

Für Mitarbeiter, die aus einem externen Netz Zugriff auf interne Ressourcen des Unternehmens benötigen, bietet der ISA-Server Unterstützung für Virtual Private Networks (VPN). Dabei wird die VPN-Komponente von Windows 2000 genutzt. Ganz ungefährlich ist dieses Vorgehen aber nicht, da diese externen Maschinen ohne den Schutz einer Firewall wie interne behandelt werden. Für die Verbindung von zwei Standorten empfiehlt es sich daher, eine VPN-Verbindung zwischen den beiden Firewalls einzurichten, was der ISA-Server ebenfalls erlaubt.

Administratoren ermöglicht die Lösung eine Reihe von Interaktionen zwischen den verschiedenen Komponenten und Regeltypen, die jedoch in der Konsole leider nicht explizit repräsentiert sind. Außerdem abstrahiert die Administrationskonsole von den darunter liegenden Technologien manchmal so sehr, dass unklar bleibt, was die jeweilige Einstellung tatsächlich bewirkt. Diese Abschirmung von technischen Details ermöglicht es zwar Systemverwaltern, ohne fundierte TCP/IP-Kenntnisse eine Firewall zu administrieren, doch ist damit die Gefahr einer Fehlkonfiguration verbunden, was dann häufig zu Lasten der Sicherheit geht. (ws)

*Michael Pietroforte arbeitet als freier Autor in München.

Firewall unter Windows betreiben?So manchen Sicherheitsexperten werden Zweifel befallen, wenn er an den Einsatz einer Firewall auf einem Windows-System denkt. Im Vergleich zu NT hat die Gates-Company bei Windows 2000 einiges in puncto Sicherheit und Stabilität verbessert. Dennoch scheint ein Betriebssystem, das von der Spielekonsole bis zum Hochleistungsrechner jede nur denkbare Anwendung abdecken soll, schon aufgrund seiner enormen Komplexität kaum als Schutzschild gegen findige Hacker geeignet. Zwar lässt sich über die Hardening-Funktion die Sicherheit des darunter liegenden Betriebssystems erhöhen, indem nicht benötigte Dienste deaktiviert werden. Doch in der Dokumentation finden sich keinerlei Informationen darüber, was die drei angebotenen Sicherheitsstufen tatsächlich auf dem System bewirken.

Das von Internet Security Systems(ISS) stammende Intrusion Detection System (IDS) des ISA-Servers soll ebenfalls die Sicherheit der Microsoft-Firewall erhöhen. Das System kann aber nur gängige Angriffe erkennen und daraufhin die Systemadministration informieren.

Dank einiger Nachbesserungen erhielt der ISA-Server immerhin die ICSA-Zertifizierung, den Quasi-Standard für die Sicherheit von Firewall-Systemen. Seitdem sind allerdings wieder einige Sicherheitslücken aufgetaucht, für die Microsoft dann aber doch recht flott die entsprechenden Patches bereitstellte. Ins Sicherheitskalkül muss miteinbezogen werden, dass Microsoft-Produkte schon wegen ihrer weiten Verbreitung ein beliebtes Angriffsziel darstellen. Dennoch, eine Reihe weiterer recht interessanter Features wie die Bandbreitenkontrollfunktion, ein Performance-Monitor, die Alarm- und Reporting-Funktionen sowie die vergleichsweise einfache Erweiterbarkeit machen den ISA-Server insgesamt zu einem mächtigen Firewall- und Caching-System, das vor allem aufgrund seiner guten Integration in die Microsoft-Welt eine Alternative für Windows-Umgebungen darstellt.

Preis der SicherheitLaut Microsoft ist ein System mit einer 300-Megahertz-CPU und einem Arbeitsspeicher von 256 MB ausreichend, in der Praxis bedarf der Rechner aber einer besseren Speicherausstattung. Als Betriebssystem setzt der ISA-Server einen Windows-2000-Server voraus. Die Enterprise-Version benötigt außerdem ein "Active Directory", um dort die Konfiguration nach einer entsprechenden Schemaerweiterung ablegen zu können. Die Standardversion kostet etwa 3500 Mark pro Server-CPU, für die Enterprise-Version muss man deutlich tiefer in die Tasche greifen: Zirka 15 000 Mark werden hier für jeden Prozessor fällig.