Microsofts ISA Server sichert Fernzugriff

Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Der Internet Security and Acceleration Server 2006 schützt Netze mit Firewall-, Proxy- und VPN-Funktionen.

Gut zwei Jahre nach der Vorstellung des ISA Server 2004 präsentiert Microsoft nun die dritte Version, den ISA Server 2006. Im Unterschied zu reinen Firewall-Anbietern hat der Softwarekonzern auch Funktionen zur Verwaltung von VPN-Strecken sowie Content-Caching in sein Produkt gepackt. Die Firewall selbst arbeitet sowohl auf der Paketebene als auch auf der Applikationsschicht (Layer 7). Dass reine Paketfilter (Stateful Inspection Firewalls) viele Angriffe nicht verhindern können, ist seit mehreren Jahren bekannt. Daher ist es sinnvoll, die Applikationsschicht in die Analyse des Netzverkehrs einzubeziehen.

Mit der aktuellen ISA-Version vereinfacht es Microsoft, seine Applikationsdienste zu veröffentlichen, sprich: über das Web zugänglich zu machen. Dies betrifft beispielsweise Microsoft Exchange und Microsoft Sharepoint sowie Web-Anwendungs-Server.

Die Systemarchitektur

Die Auswahl der Netztopologie erfolgt anhand eines Schaubilds.
Die Auswahl der Netztopologie erfolgt anhand eines Schaubilds.

Die Architektur des ISA-Servers folgt dem allgemeinen Trend, Netze in Segmente zu teilen und diese auch getrennt zu sichern. Zu empfehlen ist dies, weil traditionelle Firewalls am Übergang vom Internet in das Unternehmensnetz meist nicht mehr ausreichen, um Attacken abzuwehren. Hat es ein Angreifer erst einmal geschafft, den singulären Schutzwall zu überwinden, befindet er sich im Unternehmensnetz - und die Firewall an der Grenze zwischen internem Netz und Internet (Perimeter) hat kaum noch Wirkung.

Bereits die DMZ (Demilitarisierte Zone) bildete eine Art Zwischenstation zwischen Internet und Intranet. Der ISA-Server segmentiert allerdings über alle Netzbereiche hinweg. Er unterscheidet zwischen dem internen Netz, dem Internet, einer DMZ und einem Segment für VPN-Clients. Sowohl das interne Netz als auch die DMZ lassen sich bei Bedarf weiter zerlegen. Um mehrere Firewalls effizient verwalten zu können, wird die Konfiguration auf einem zentralen Server namens "Configuration Storage Server" hinterlegt und von dort auf die Firewalls im Netz verteilt. Sie heißen nun "Array Members" und stellen die "ISA Server Services" bereit, die die Funktion der Firewall, aber auch die VPN-Abwicklung und das Caching von Internet-Seiten übernehmen.

Der ISA 2006 ist in einer "Standard Edition", einer "Workgroup Edition" und einer "Enterprise Edition" verfügbar. Die Varianten unterscheiden sich vor allem im Leistungsvermögen - etwa der Anzahl unterstützter CPUs oder den Balancing-Funktionen. Ferner plant Microsoft, mit Hardwarelieferanten zu kooperieren und den ISA 2006 auch als Appliance anzubieten.

Systemvoraussetzungen

Für den ISA-Betrieb ist laut Microsoft ein Windows Server 2003 mit SP1 oder Windows Server 2003 Release 2 erforderlich - nicht jedoch die 64-Bit-Version der Windows-Server-2003-Reihe. Ferner sollte das Gerät mindestens mit einer Pentium-III-kompatiblen CPU mit 733 Megahertz, mit 512 MB RAM sowie 150 MB freiem Festplattenplatz und NTFS-Dateisystem ausgestattet sein. Der geforderte Festplattenplatz ist ausschließlich für die Cache-Funktionen des ISA reserviert. Für jedes angebundene Netz ist eine eigene Netzkarte (NIC) erforderlich. Soll das System als Perimeter-Firewall an der Grenze zwischen LAN und Internet betrieben werden, sind folglich zwei NICs Voraussetzung. Will der Anwender zudem noch eine DMZ verwalten, wird eine weitere Netzkarte benötigt. Ferner muss der Rechner in eine Windows-Domäne integriert oder eine "Trust-Relationship" eingerichtet werden. Die Integration in die Domäne ist aus Sicherheitsgründen allerdings meist nicht zu empfehlen.