آشنایی با ISA SERVER ۲۰۰۴

شرکت مایکروسافت نرم افزارهای متعددی را تحت عنوان MICROSOFT SERVER SYSTEM در کنار سیستم عامل اصلی سرور خود یعنی ویندوز ۲۰۰۰ تا ۲۰۰۳ عرضه کرده که وظیفه ارایه سرویس های متعددی را از انواع شبکه ای گرفته تا امنیت وغیره به عهده دارند
● آشنایی
برنامه قدرتمند ارتقاء و امنیت شبکه مایکروسافت ISA SERVER نام دارد این برنامه با استفاده از
سرویس های و سیاست های وامکاناتی که در اختیار کاربران قرار می دهد قادر است به عنوان راه حلی در شبکه های مجازی (VPN)و یا برپا کردن فضای حایل به عنوان CACHE جهت دسترسی سریع تر به صفحات وب مورد استفاده قرار گیرد. همچین این برنامه قادر است با ایجاد یک دیواره آتش در لایه APPLICATION شبکه فعالیت سرویس هایمختلف یک شبکه ویندوزی مثل وب سرور IIS سرویس های دسترسی از راه دور (ROUTING AND REMOTE ACCESS) را از طریق فیلترگذاری و کنترل پورت ها تحت نظر گرفته و فضای امنی را برای آن ها فراهم کند. این برنامه با اسنفاده از نظارت دایمی خود بر پروتکل امنیتی SSI و فیلتر کردن درخواست های HTTP که به سرور می رسد وب سرور و ایمیل را از خطر حمله هکر ها دور نگه می دارد .به همین ترتیب کلیه ارتباطات شبکه ای که با یک سرور بر قرار
می شود از ارتباط DIA UP ساده گرفته ا ارتباط با سرور EXCHANGE و یا IIS باید مشکوک با سرور مسدود گردد.
سایت مایکروسافت برای بررسی اهمیت وجود ISA ذر یک شبکه کلیه راه حل های این برنامه را که با استفاده از سرویس ها و امکانات ویژه موجود در آن ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم کرده که به آن ها می پردازیم.
● سناریوی اول
از ISA برای تأمین امنیت ایمیل ها استفاده می شود .ISA SERVER با استفاده از دو روش استاندارد یعنی SSL DECRYOTION و همچنین HTTP FILTERING اولا از ورود کد های مشهور به MALICIOUS که عمدتا بدنه انواع کرم ها و ویروس ها را می سازند جلوگیری به عمل می آورد و ثانیا محتوای در خواست های HTTP را برای بررسی مجوز دسترسی آن ها و صلاحیت دریاف و ارسال اطلاعات مورد کنکاش قرار می دهد .در این حالت,ISA همچنین از هر نوع اتصال افراد با اسم کاربردی ANONYMOUS که می تواند منشأ شکستن رمز عبور های مجازی یک سرویس دهنده ایمیل شود,جلوگیری می کند. به هر حال با وجود این که یک ایمیل سرور مثلEXCHANGE راه حل های امنیتی مخصوص به خود را دارد.اما وجود ISA به عنوان دیواره آتش یک نقطه قوت برای شبکه به حساب می آید.
ضمن این که در نسخه های جدید ISA امکان ایجاد زنجیره ای از سرور های ISA که بتوانند با یک سرور EXCHANGE در تماس بوده و در خواست های کاربرانرا با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اکنون به ISA عنوان فایروالی که با قدرت انجام توازن بار ترافیکی,سرعت بیشتری را در اختیار کاربران قرار می دهد در نظر گرفته شود
● سناریوی دوم
ISA می تواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفادهقرار گیرد.در این سناریو,یک شرکت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده کاربران خارج از سازمان قرار می دهد.بهعنوان مثال بسیاری از شرکت ها مسایل تبلیغاتی و گاهی اوقات سیستم سفارش دهی خود را در قالب اینترنت و یا اینترانت برای کاربران باز می گذارند تا آن ها بتوانند از این طریق با شرکت ارتباط برقرار نمایند.در این شورتISA می تواند به صورت واسط بین کاربران و سرویس های ارایه شده توسط وب سرور یا بانک اطلاعاتی SQL SERVER که مشغول ارایه سرویس به محیط خارج است,قرار گرفته و بدین وسیله امنیت دسترسی کاربران به سرویس های مجاز و حفاظت از منابع محرمانه موجود در سیستم را فراهم آورد.
● سناریوی سوم
در این سناریو,دو شبکه LAN مجزا متعلق به دو شرکت مختلف که در برخی موارد همکاری اطلاعاتی دارند,توسط فضای اینترنت و از طریق سرور ها و دروازه های VPN با یکدیگر در ارتباط هستند.به عنوان مثال یکی از شرکای یک شرکت تجاری,محصولات آن شرکت را به فروش رسانده و درصدی از سود آن را از آن خود می کند.در این روش به صورت مداوم و یا در ساعات معینی از شبانه روز,امکان ردوبدل اطلاعات بین دو شرکت مذکور وجود دارد.در این زمانISA می تواند با استفاده از روش ENCRYPTION از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری کند.در حالی که هیچکدام از دو طرف احساس نمی کنند که فضای حایلی ذر این VPN مشغول کنترل ارتباط بین آنهاست.به علاوه این که با وجود ISA ,کاربران برای اتصال به سایت یکدیگر باید از دو مرحله AUTHENTICATION (احراز هویت) یکی برای سرور یا دروازه VPN طرف مقابل و ذیگری برای ISA عبور کنند که در این حالت یکی از بهترین شیوه های بر قراری امنبت در شبکه های VPNاست.
در این سناریو,وجود یک ISA SERVER تنها در طرف سایت اصلی یک شرکت می تواند,مدیریت برقراری امنیت در کل فضای VPN هر دو طرف را به عهده می گیرد و با استفاده از دیواره آتش لایه APPLICATION از عبور کد های مشکوک جلوگیری کند.(شکل۳)
● سناریوی چهارم
در سناریوی چهارم ,یک شدکت قصد دارد به عنوان مثال تعدادی از کارمندان خود را قادر به کار کردن با سیستم های درونی شرکت از طریق یک ارتباط VPN اختصاصی بنماید.در این حالت برای دسترسی این قبیل کارمندان به سروس شرکت وعدم دسترسی به سرورهای دیگریا جلوگیری از ارسال ویروس و چیزهای مشابه آن ,یک سد محکم به نام ISA ترافیکاطلاعات ارسالی و یا درخواستی را بررسی نموده و در صورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را مسدود می کند.(شکل ۴)
● سناریوی پنجم
سناریوی بعدی زمانی,مطرح می شود که یک شئکت قصد دارد با بر پایی یک سیستم مرکزی ذر محل اصلی شرکت , سایر شعبات خود را تحت پوشش یک سیستم (مثلا یک بانک اطلاعاتی) متمرکز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شرکت از طریق VPN مطرح می شود.در این صورت ISA با قرار ذاشتن در سمت هر شعبه و همچنین دفتر مرکزی به صورت آرایه ای از دیوارهای آتش (ARRAY OF FIREWALL) می تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مرکزی شرکت و بالعکس را زیر نظر داشته باشد . این مسأله بهعث می شود تا هر کدام از شعبات و دفتر مرکزی به منابع محدودی از یکدیگر دسترسی داشته باشند . در ضمن با وجود امکان مدیریت و پیکربندی متمرکز کلیه سرورهای ISA , نیهزی به مسولین امنیتی برای هر شعبه نیست و تنها یک مدیر امنیت , از طریق ISA سرور موجود در دفتر مرکزی می تواند کلیه ISA سرورهای شعبات را تنظیم و پیکربندی کند.(شکل ۵)
● سناریوی ششم
کنترل ذسترسی کاربران داخل دفتر مرکزی به سایت های اینترنتی , سناریوی ششم کاربرد ISA محسوب می شود. در این جا ISA می تواند به کمک مدیر سیستم آمده , سایت ها , لینک ها ی URL و یا انواع
فایل ها یی که از نظر وی نامناسب تشخیص داده شده , را مسدود کند. در همین هنگام فایروال نیز کار خود را انجام می دهد و با استفاذه از سازگاری مناسبی که بین ISA و ACTIVE MESSING ویندوز وجود دارد , اولا از دسترسی افراد غیر مجاز یا افراد مجاز ذر زمان هایغیر محاز به اینترنت جلوگیری شده و ثانیا می توان از اجرا شدن برنامه هایی که پورت های خاصی از سرور را مثلا جهت استفاده برنامه های INSTANT MESSAGING مورد استفاده قرار می دهند , جلوگیری نمود تا بدین وسیله ریسک ورود انواع فایل های آلوده به ویروس کاهش یابد . (شکل ۶)
● سناریوی هفتم
در تمام سناریوی قبلی که ISA در بر قراری ارتباط مناسب و امن بین سایت های اینترنت , کاربران یا شعبات شرکت نقش مهمی را ایفا می کرد , یک سناریوی دیگر نیز نهفته است و آن سرعت انتقال اطلاعات بین تمام موارد فوق از سایت های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم ARRAY CACHE موجود در این برتامه باعث می شود تا هرکدام از کاربران چه در محل اصلی شرکت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایت های مشابه راه میان بر را رفته و آن را از هر کدام از ISA های موجود در شبکه VPN یا LAN دریافت کنند و بدین وسیله حجم انتقال اطلاعات با با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند .
● عملکرد
ISA SERVER کلیه سناریوهای تعیین شده را بر اساس سه قاعده مختلف یعنی سیستم, شبکه و دیواره آتش محقق می سازد که در ایتجا به این سه قاعده اشاره می کنیم.
۱) NETWORK RULE
ISA SERVER با استفاده از قوانین شبکه ای موجود و تعریف شده در بانک اطلاعاتی خودش نحوی ارتباط دو یا چند شبکه را به یکدیگر در یک فضای معین , مشخص می سازد. در این قاعده که توسط مدیر سیستم قابل تنظیم است مشخص می گردد که شبکه های مورد نظرطبق کدام یک از دو روش قابل طرح , به یکدیگر متصل می شوند . این دو روش عبارتند از :
الف) NAT (Network Address Translation )
این روش , یک ارتباط یک طرفه و منحصر به فرد است. بدین معنی که همیشه یکی از شبکه ها نقش شبکه اصلی و داخلی (INTERMAL) و بقیه شبکه ها نقش شبکه های خارجی (EXTERMAL) را بازی می کنند. در این روش شبکه داخلی می تواند قمانین و شیوه دسترسی به اطلاعات و ردوبذل شدن آن ها در فضای بین شبکه ها را تعیین کند ولی این امکان از سایر شبکه های خارجی سلب گردیده و آن ها تابع قوانین تعریف شده درشیکه داخلی هستند. در این روش همچنین ISA آدرس IP کامپیوترهای مبدأ یک ارتباط NAT را به وسیلهعوض کردن آن ها در IP خارجی خودش , از دید کامپیوترهای یک شبکه (چه کامپیوترهای متصل از طریق LAN و چه کامپیوترهای خارجی ) مخفی می کند . به عنوان مثال , مدیر یک شبکه می تواند از ارتباط بین کامپیوترهای متصل شده از طریق VPN را با ضای اینترنت از نوع یک رابطه NAT تعریف کند تا ضریب امنبت را ذر این ارتباطات بالا ببرد.
ب) ROUT
این نوع ارتباط یک ارتباط , دو طرفه است. بدین معنی که هر دو طرف می تونند قواعد امنیتی خاصی را برای دسترسی شبکه های دیگر به شبکه محلی خود تعریف کنند. به عنوان مثال ارتباط بین شبکه های متصل شده به یکدیگر در فضای VPN می توند یک ارتباط از نوع ROUT باشد.
با توجه به ین مسایل ارتباطات فابل اطمینان یک شبکه با شبکه های مجاور (مثل شعبات شرکت ) می تواند از ROUT و ارتباطات مختاطانه شبکه با کاربران خارجی و کسانی که از طریقRADIUS یا وب به شبکه دسترسی ذارند می تئاند از نوع NAT تعریف شود .
۲) Firewall Rule
علاوه بر نقش مستقیمی که سیاست های تعریف شده در قواعد دیواره آتش در نخوه ارتباط بین شبکه ها بازی می کند و می توند موجب مسدود شدن ارتباطات خرج از قواعد تعریف شده در NETWORK RULE شود , این قواعد همچنین می تواند با تعریف دقیقی که از پروتکل های HTTP , FTP , ONS , RPC و ........
انجام دهند , کلیه درخواست های ازانواع مذکور را زیر نظر گرفته و به عبارتی فیلتر نمایند. در این روش مدیر امنیت شبکه می تواند امکان دسترسی تعدادی از کاربران را در ساعات خاص و به محتوای مشخص مجاز یا غیر مجاز کند. به عنوان مثال وی میتواند تصاویر موجود بر روی صفحات وب را از طریق فیلتر کردن فهرستی از پسوندهای انواع فایل های گرافیکی در یک قاعده از نوع HTTP , مسدود کند در حالی که کاربران همچنان بتوانند آن فایل ها را از طریق پروتکل دیگری مثل FTP دریافت یا ارسال کنند.
همچنین در قواعد مربوطه به فایروال می توان دسترسی کاربران و یا گروه های کاربری را به تعدادی از آدرس های URL یا IP های مشخص مسدود کرد. ضمن آنکه قواعد مربوط به نخوه دسترسی کاربران برای انجام اموری مثل انتشار صفحات وب (WEB PUBLISHING ) و امثال آن هم در همین جا تعریف می گردد.
۳) SYSTEM RULE
در این قسمت بیش از سی قاعده مربوط به دسترسی وجود دارد که قابل انتساب به شبکه محلی می باشند. این قواعد نحوه ارتباط سرویس های یک شبکه را با یکدیگر و همچنین با ISA مشخص می نماید. به عنوان مثال سرویس DHCP که کلیه درخواست ها و پاسخ های مربوط به انتساب دینامیک آدس IP به کامپیوترهای یک شبکه را مدیریت می کند , یا سرویس DSN که وظیفه ترجمه اسامی و آدرس های شبکه را انجام می دهد , مورد استفاده ISA قرار گرفته تا بتواند هم موقعیت خود در شبکه و با سرورهایی که سرویس های فوق را ارایه می دهند تشخیص دهد و هم با اطلاع از نحوه پیکربندی شبکه و ارتباط آن با مخیط خارج اقدام به کنتذل آن از طریق قواعد مربوطبه شبکه و دیواره آتش بنماید. به طور کلی سیاست های موجود در قواعد سیستمی روابط میان ISA و سایر منابع و سرورهای موجود در شبکه را مشخص می نمایند.