Gut zwei Jahre nach der Vorstellung des ISA Server 2004 präsentiert Microsoft nun die dritte Version, den ISA Server 2006. Im Unterschied zu reinen Firewall-Anbietern hat der Softwarekonzern auch Funktionen zur Verwaltung von VPN-Strecken sowie Content-Caching in sein Produkt gepackt. Die Firewall selbst arbeitet sowohl auf der Paketebene als auch auf der Applikationsschicht (Layer 7). Dass reine Paketfilter (Stateful Inspection Firewalls) viele Angriffe nicht verhindern können, ist seit mehreren Jahren bekannt. Daher ist es sinnvoll, die Applikationsschicht in die Analyse des Netzverkehrs einzubeziehen.
Fazit
• Microsofts ISA 2006 stellt eine kontinuierliche Weiterentwicklung dar. Neben einer einfachen Verwaltung wurden vor allem die Veröffentlichung von Applikationsdiensten sowie die Anbindung von Zweigstellen erleichtert.
• Insbesondere im Verbund mit dem Exchange- oder Sharepoint-Server kann der ISA seine Vorteile ausspielen.
• Ferner wird verstärkt die Kooperation mit Herstellern von Appliances angestrebt, um die Administration noch weiter zu vereinfachen.
• Doch wird sich der Einsatz des ISA vor allem auf Microsoft-Infrastrukturen beziehen - für heterogene Umgebungen bietet der Markt bereits eine Vielzahl an Produkten.
So wurde getestet
• Das Testsystem war mit einem AMD Athlon (1,7 Gigahertz), einem GB Speicher und zwei Netzkarten ausgestattet.
• Softwaregrundlage war Windows 2003 mit SP1.
• Der Einfachheit halber wurde der Configuration Storage Server zusammen mit den ISA Server Services auf einem Gerät installiert.
Pro und Kontra
-- Einfache Inbetriebnahme;
- angenehmes und übersichtliches User Interface (UI);
- schnelle Veröffentlichung von Microsoft-Applikationsdiensten.
- Hohe Investitionskosten, da ein eigener Rechner sowie Lizenzen für das Betriebssystem und den ISA benötigt werden.
Mit der aktuellen ISA-Version vereinfacht es Microsoft, seine Applikationsdienste zu veröffentlichen, sprich: über das Web zugänglich zu machen. Dies betrifft beispielsweise Microsoft Exchange und Microsoft Sharepoint sowie Web-Anwendungs-Server.
Die Systemarchitektur
Die Architektur des ISA-Servers folgt dem allgemeinen Trend, Netze in Segmente zu teilen und diese auch getrennt zu sichern. Zu empfehlen ist dies, weil traditionelle Firewalls am Übergang vom Internet in das Unternehmensnetz meist nicht mehr ausreichen, um Attacken abzuwehren. Hat es ein Angreifer erst einmal geschafft, den singulären Schutzwall zu überwinden, befindet er sich im Unternehmensnetz - und die Firewall an der Grenze zwischen internem Netz und Internet (Perimeter) hat kaum noch Wirkung.
Bereits die DMZ (Demilitarisierte Zone) bildete eine Art Zwischenstation zwischen Internet und Intranet. Der ISA-Server segmentiert allerdings über alle Netzbereiche hinweg. Er unterscheidet zwischen dem internen Netz, dem Internet, einer DMZ und einem Segment für VPN-Clients. Sowohl das interne Netz als auch die DMZ lassen sich bei Bedarf weiter zerlegen. Um mehrere Firewalls effizient verwalten zu können, wird die Konfiguration auf einem zentralen Server namens "Configuration Storage Server" hinterlegt und von dort auf die Firewalls im Netz verteilt. Sie heißen nun "Array Members" und stellen die "ISA Server Services" bereit, die die Funktion der Firewall, aber auch die VPN-Abwicklung und das Caching von Internet-Seiten übernehmen.
Der ISA 2006 ist in einer "Standard Edition", einer "Workgroup Edition" und einer "Enterprise Edition" verfügbar. Die Varianten unterscheiden sich vor allem im Leistungsvermögen - etwa der Anzahl unterstützter CPUs oder den Balancing-Funktionen. Ferner plant Microsoft, mit Hardwarelieferanten zu kooperieren und den ISA 2006 auch als Appliance anzubieten.
Systemvoraussetzungen
Für den ISA-Betrieb ist laut Microsoft ein Windows Server 2003 mit SP1 oder Windows Server 2003 Release 2 erforderlich - nicht jedoch die 64-Bit-Version der Windows-Server-2003-Reihe. Ferner sollte das Gerät mindestens mit einer Pentium-III-kompatiblen CPU mit 733 Megahertz, mit 512 MB RAM sowie 150 MB freiem Festplattenplatz und NTFS-Dateisystem ausgestattet sein. Der geforderte Festplattenplatz ist ausschließlich für die Cache-Funktionen des ISA reserviert. Für jedes angebundene Netz ist eine eigene Netzkarte (NIC) erforderlich. Soll das System als Perimeter-Firewall an der Grenze zwischen LAN und Internet betrieben werden, sind folglich zwei NICs Voraussetzung. Will der Anwender zudem noch eine DMZ verwalten, wird eine weitere Netzkarte benötigt. Ferner muss der Rechner in eine Windows-Domäne integriert oder eine "Trust-Relationship" eingerichtet werden. Die Integration in die Domäne ist aus Sicherheitsgründen allerdings meist nicht zu empfehlen.
Unser Testsystem war mit einem AMD Athlon (1,7 Gigahertz), einem GB Speicher und zwei Netzkarten ausgestattet. Softwareseitig diente Windows 2003 mit Service Pack 1 als Grundlage. Für die über den ISA-Server geschleusten Clients ist keine Softwareinstallation notwendig. Allerdings ist die jeweilige Konfiguration des Netzes und des Internet Explorers anzupassen. Das Standard-Gateway und die Proxy-Einstellungen müssen auf den ISA-Server verweisen. Als Client-Systeme dienten unterschiedliche Rechner mit Windows 2000 Professional und Windows XP.
Installation und Setup
Das Setup lässt sich schnell vornehmen. Zu den wichtigsten Einstellungen zählen hier Auswahl und Platzierung der ISA-Komponenten:
• ob die ISA Server Services und der Configuration Storage Server auf einer Maschine laufen sollen;
• beide auf eigenen Systemen installiert werden sollen;
• nur die Verwaltungssoftware zur Fernwartung (MMC-Snap-in) eingesetzt werden soll.
Wird ein zweiter Configura- tion Storage Server eingerichtet, kann dieser die Konfiguration eines vorhandenen Servers übernehmen. Für unseren Test wurden der Einfachheit halber der Configuration Storage Server zusammen mit den ISA Server Services auf dem gleichen Gerät installiert. In größeren Netzen sollten der Configuration Storage Server und die Array-Members aus Leistungs- und Sicherheitsgründen allerdings getrennt sein.
Verwaltung über MMC-Snap-ins
Die Administration des ISA erfolgt durch MMC-Snap-ins (Microsoft Management Console). Deren Aufbau ist streng hierarchisch und unterscheidet nach Enterprise, Arrays und darunter einzelnen Servern sowie deren Konfigurationen. Die Verwaltung basiert auf zentralen Elementen wie Netzen, Regeln oder Benutzergruppen. Diese Verwaltungsobjekte lassen sich frei zusammenstellen und zuordnen. Eigene Administrationsfunktionen gibt es für die Überwachung der Firewall und der Verwaltung der VPNs. Die wichtigsten Administrationsaufgaben sind in einem eigenen Fenster zusammengefasst, wo sie in Abhängigkeit vom gewählten Objekt eingeblendet werden. Hinterlegt sind zudem Hilfen und Handbücher sowie Links auf die Microsoft-Web-Seiten.
Alle Konfigurationsschritte werden von Assistenten gesteuert. Zu den ersten Schritten gehört es, die Netztopologie festzulegen. Sie beschreibt die prinzipielle Architektur des abzusichernden Netzes. Hierbei unterscheidet der ISA mehrere Topologien: Die Firewall an der Grenze zwischen internem Netz und Internet nennt Microsoft "Edgefirewall". Diese wurde für den Test gewählt. Das Testsystem wurde folglich mit zwei Netzkarten bestückt, womit eine Trennung in das interne LAN und das Internet erfolgte. Die Auswahl der Topologie lässt sich in der Software anhand eines Schaubilds bestimmen. Dem Netz sind dann die IP-Bereiche des internen Netzes zuzuordnen, bei Bedarf lässt es sich noch weiter zerlegen. Neben dem für unseren Test gewählten Modell "Edgefirewall" stehen Varianten mit einer "Frontfirewall", "Backfirewall" sowie einem einzelnen Netzadapter zur Verfügung. Des Weiteren lassen sich auch komplexere Szenarien etwa mit einer DMZ (sie wird als Umkreisnetz oder "3-Leg-Perimeter" bezeichnet), oder über die Trennung des Unternehmensnetzes in Bereiche mit unterschiedlichen Sicherheitsstufen einrichten.
Die Access Rules
Das zentrale Element für Firewall-Konfigurationen sind die Zugriffsregeln (Access Rules). Sie stellen den Filtermechanismus des ISA dar und grenzen die zulässige Kommunikation ein. Auszuwählen sind hier alle Parameter, die die Kommunikation steuern oder beeinflussen. Die Access Rules können definiert, gruppiert und geschachtelt werden.
Derzeit kennt der ISA über 120 Protokolle, die er in die Bereiche Infrastrukturdienste, Authentifizierung, Mail-Kommunikation, Instant Messaging, remote Terminalzugriffe, Streaming Media, VPN und IPsec, allgemeine Web-Protokolle, Server-Protokolle und andere unterteilt. Sie sind durch die Port-Angaben weiter zu spezifizieren. Zudem lassen sich Benutzer oder Benutzergruppen, Zeiten der erlaubten oder gesperrten Kommunikation sowie eine Seite festlegen, die dem Benutzer im Fall einer Zugriffssperre präsentiert werden soll. Darüber hinaus können Anwender weitere Protokolle in das Schutzkonzept aufnehmen.
Die Definition der Zugriffsregeln ist ebenfalls durch Assistenten gesteuert, die alle wichtigen Parameter in der Dialogfolge abfragen. Für erste Tests zur Funktion der Firewall lässt sich beispielsweise eine Regel erstellen, die HTTP explizit erlaubt, HTTPS jedoch sperrt. Jegliches Online-Banking, das mit HTTPS arbeitet, sollte dann unterbunden sein.
Parameter mit Bedacht setzen
Die Bedienung dieser Assistenten wirft kaum Fragen auf. Allerdings sind die Auswirkungen der zu wählenden Parameter nicht dokumentiert, so dass der Administrator schon sehr genau wissen sollte, welche er setzt. Für unseren Test wurden diverse Regeln etwa zum Blockieren von Streaming- oder Mail-Protokollen definiert. Sie wurden im Testszenario korrekt eingehalten, und die unerwünschte Kommunikation unterblieb.
Ferner lässt sich der Inhalt für HTTP-Traffic filtern. Da jedoch im Normalfall stets mehrere Access Rules existieren, muss der Verwalter die Reihenfolge, in der sie abgearbeitet werden sollen, definieren. Hier heißt es aufpassen, denn bei komplexen Aufbauten und Verschachtelungen kann es dazu kommen, dass die Kommunikation zwischen zwei Rechnersystemen ungewollt verhindert wird. Aus diesem Grund lassen sich die Regeln temporär außer Kraft setzen.
Konfigurationen aktivieren
Des Weiteren ist zu beachten, dass die vorgenommene Konfiguration explizit aktiviert werden muss, um zu verhindern, dass unvollständige und damit instabile Konfigurationssätze auftreten. Ferner sind die Konfigurationen über Export- und Importfunktionen zu sichern oder auf andere Geräte zu bringen.
Neben diesen zentralen Funktionen umfasst der ISA weitere Module für die Beschleunigung des Web-Zugriffs ("Internet Acceleration"), was mittels Caching realisiert wird. Dies muss der Anwender ebenfalls explizit aktivieren und den dafür notwendigen Festplattenplatz bereitstellen. Caching lässt sich für HTTP-, FTP- und SSL-Verkehr konfigurieren - falls dieser nicht getunnelt ist. Die Logik der Zwischenspeicherung wird durch Cache Rules abgebildet. Prinzipiell lässt sich damit auch ein Reverse Caching realisieren. Dies gilt beispielsweise für vom Internet angefragte Web-Seiten, die auf einem Internet-Server in der DMZ liegen.
Sicherer Fernzugriff
Viel zu bieten hat der ISA 2006 im Hinblick auf die Anbindung von Zweigstellen durch seine VPN-Funktionen. Deren Konfiguration wird ebenfalls durch Assistenten gesteuert. Der Zugriff der Client-Geräte kann über PPTP oder L2TP/IPsec erfolgen. Ferner ist eine Quarantänefunktion für unsichere Fernverbindungen integriert. Das Regelwerk kommt dabei entweder von einem Radius-Server oder direkt von den ISA-2006-Policies.
Zur Überwachung aller Aktivitäten stellt Microsoft im ISA 2006 ein zentrales Dashboard bereit. Es ermöglicht das Monitoring der Benutzer-Sessions, der Warnungen, Fehler und Dienste sowie der generellen Systemauslastung. Außerdem gibt es für den ISA einen Performance-Monitor, der in Aufbau und Funktion an den Betriebssystem-Monitor angepasst ist. Die Überwachung liefert verschiedene Leistungswerte über das Caching, die Packet Engine, die Services beziehungsweise den Web-Proxy. (kf)