Kako se lotiti in ukrotiti ISA Server 2004 Enterprise Edition v vašem omrežju

Miha Pihler, MCSA, MCSE, MCT, CISSPMicrosoft MVP – Windows Security

Staro : NovoTehnologije požarnih zidov Filtriranje do 4 nivoja Filtriranje do 7 nivoja (aplikacijski nivo)

Blaster

Staro : NovoTehnologije požarnih zidov

Tradicionalni Tradicionalni požarni zid požarni zid

Tradicionalni Tradicionalni požarni zid požarni zid

WebWebSrv/ Srv/ OWA OWA

WebWebSrv/ Srv/ OWA OWA

odjemalecodjemalecodjemalecodjemalec

Spletni strežnik zahteva Spletni strežnik zahteva prijavo!prijavo!

SSLSSLSSLSSL

SSL povezava (tunel) gre SSL povezava (tunel) gre skozi tradicionalni požarni skozi tradicionalni požarni

zidzid

... Kar omogoči prosti ... Kar omogoči prosti prehod tudi virusom ...prehod tudi virusom ...

……in lahko okuži interni strežnik!in lahko okuži interni strežnik!

ISA Server 2004 ISA Server 2004 s HTTP filtroms HTTP filtrom

ISA Server 2004 ISA Server 2004 s HTTP filtroms HTTP filtrom

““Basic authenticationBasic authentication”” ( (Tudi za formeTudi za forme))ISA strežnik ustavi zahtevo in ISA strežnik ustavi zahtevo in

preveri uporabniško ime in preveri uporabniško ime in geslogeslo

ISA HTTP FilterISA HTTP Filter

SSL SSL aliali HTTPHTTP

SSL SSL aliali HTTPHTTP

SSLSSLSSLSSL

ISA strežnik ustavi ISA strežnik ustavi in dešifrira SSL in dešifrira SSL

prometpromet

Preverjen promet lahko posredujemo Preverjen promet lahko posredujemo internemu strežniku v novi SSL povezavi internemu strežniku v novi SSL povezavi

ali pa v prostem tekstuali pa v prostem tekstu..

URLScan URLScan zaza ISA ServerISA Server

HTTP filter HTTP filter nana ISA ISA strežnikustrežniku lahko ustavi tudi šifriran napad lahko ustavi tudi šifriran napad

na vhodu v omrežjena vhodu v omrežje

InternetInternet

Staro : NovoTehnologije požarnih zidov Osnovno filtriranje prometa (HTTP, SMTP)

Pregled pred virusi “3rd party” rešitve (GFI, ...)

ISA 200? Antigen (SMTP, HTTP...)

Konfiguracija ISA strežnikaAD/AM ISA 2000 EE – Active Directory

Kaj v primeru ko je ISA v DMZ?

ISA 2004 SE – Lokalna shramba Register

ISA 2004 EE – AD/AM ISA ne rabi biti član domene Povezave na CSS varne (LDAP/S)

DemoNamestitev CS / Namestitev ISA

Namestitev CS

Namestitev ISA 1 Namestitev ISA 2

Konfiguracija ISA strežnikaAD/AM – “Configuration Storage” Kam ga postaviti?

AD? Samostojni strežnik?

Koliko CS strežikov?

Varnost? LDAPS

Konfiguracija ISA strežnika Prednost CSS Enostavno vzdrževanje in dodajanje ISA

servisov v okolje

2 ISA strežnikaNLB DEMO postavitev NLB ISA strežnika

Kam sedaj demo?Pravila na ISA strežniku Eno prvih pravil – dostop do interneta

HTTP filter

Dostop do interneta na podlagi članstva v skupinah

Microsoft omrežjaIntegracija z Microsoft servisi

Outlook Web Access Preverjanje uporabnika preden pride do

strežnika na LANu

Microsoft omrežjaOutlook Web Access

URLURL

401401URLURL,,basic credsbasic creds

Pravi podatkiPravi podatki??(WinLogon)(WinLogon)

tokentoken

URL,URL,basic credsbasic creds

Pra

vi p

od

atk

i?P

ravi p

od

atk

i?

token

token

OWA – e-mailOWA – e-mail

OWA – e-mailOWA – e-mail

ADAD

IISIIS

ISA SISA Strezniktreznik

odjemalecodjemalec

OWA demoFilter dostopa do strežnikov Odpiranje dostopov do strežnikov

OWA IIS ...

Demo Uvoz, izvoz konfiguracije Celotna konfiguracija Posamezni pravilo

XML

Poročila, ...

Poročila

Odprava težav

Q&A

miha.pihler@snt.si

www.SloWug.org

Izpolnite vprašalnik in

si priborite

SmartPhone Qtek 8010!

Barva za nasloveBarva za podnaslove MEDNASLOV

Mednaslov naredite velikosti 36pt ali manjše, tako da pride v eno vrstico

Mednaslovi naj bodo napisani z velikimi črkami Uporabite modro barvo za podnaslove in

mednaslove; modra je na paleti za barvo črk