ISA Server 2004 uključuje nekoliko drugih aplikativnih i web filtera. Većina funkcionalnosti na ISA Serveru, kao što je SMTP filterisanje, prevođenje linkova, OWA form-based autentifikacija, DNS filterisanje su implementirane korisćenjem aplikativnih ili web filtera. Ova lekcija predstavlja funkcionalnosti koje dobijamo korišćenjem nekoliko drugih aplikativnih filtera i daje zaključak i pregled aplikativnih i web filtera na ISA Serveru.

 

FTP aplikativni filter

Omogućavanjem File Tranfer Protocol-a (FTP) na Firewall-u može biti jako kompleksan proces za administratore jer FTP koristi višestruke portove i konekcije za prenos podataka. FTP filter pristupa (access filter) je specijalno dizajniran da smanji administrativno opterećenje obrađivanjem ove kompleksnosti i da sigurno upravlja svim konekcijama.

Sledeći koraci objašnjavaju kako se podešava FTP konekcija:

  1. FTP klijent kreira konekciju na FTP server koristeći Port 21. Kao deo zahteva, FTP klijent takođe ukazuje na kojem će portu slušati i čekati odgovor. Ovaj port će biti nasumični (random) port iznad 1023.
  2. Server odgovara na portu koji je odredio klijent, i nakon toga klijent i server kompletiraju Three-way handshake (dogovor o komunikaciji).
  3. Kada je kompletirana three-way handshake komunikacija, server inicira konekciju sa klijentom preko porta 20. Ovaj port će biti korišćen da kanal kroz koji će se slati podaci. Server takođe određuje port veći od 1023 na koji će klijent odgovoriti.
  4. Klijent i Server kompletiraju Three-way handshake na novim portovima i počinju da šalju podatke.

Prva dva koraka u procesu su slična skoro svim protokol konekcijama. Ipak, kada FTP server inicira povratnu konekciju ka klijentu na Portu 20, konekcija nije deo nijedne postojeće TCP sesije i normalno bi bila blokirana iz razloga što konekcija nije inicirana sa interne mreže.

 

Kako radi FTP filter?

FTP filter omogućuje FTP konekcije da bi dozvolio klijentskim kompjuterima siguran pristup FTP serverima a pritom ne zahtevaju kompleksna pravila pristupa na Firewall-u. FTP filter nadgleda inicijalnu FTP konekciju između FTP klijenta i servera i omogućava pokušaj serverske konekcije da podesi kanal kroz koji će prolaziti podaci (data channel). FTP filter takođe prevodi klijentske interne IP adrese u adrese kojima FTP server na internetu može da pristupi.

Ovaj filter može da se iskoristi da se zaštiti FTP server ili FTP serveri koji se nalaze unutar organizacije. Kompjuter na kojem radi ISA Server, koji se nalazi između korisnika koji zahteva fajl i FTP servera, može da ograniči i blokira pristup zahtevima. Svi dolazeći zahtevi prolaze kroz ISA Server pre dolaska do FTP servera kompanije, i ovaj način komunikacije obezbeđuje povećanu sigurnost.

Bilo da se FTP filter koristi za dolazeći ili za odlazeći FTP saobraćaj, administrator može da odredi nivo dozvoljenog pristupa. Možemo da konfigurišemo FTP filter da:

  • Blokira pristup FTP serverima
  • Dozvoli read-only pristup informacijama na FTP serveru
  • Dozvoli kompletan pristup informacijama na FTP serveru

 

Konfiguracija FTP filtera

Postoji nekoliko različitih konfiguracionih opcija koje možemo da omogućimo FTP filterom:

  • Možemo da onemogućimo FTP filter na bilo kom pravilu pristupa (access rule) ili na server pravilu objavljivanja (server publishing rule). Po default-u, FTP filter je omogućen na svim pravilima koji omogućavaju FTP. Ako želimo da onemogućimo FTP filter na određenom pravilu, treba da pristupimo Properties-u protokola na pravilu i isključimo (disable) FTP filter.
  • Možemo da isključimo FTP filter za sva pravila. Isključivanje FTP filtera se odrađuje: pristupimo Add-ins kontejneru koji se nalazi u ISA Server Management-u. Desni tasterom miša kliknemo na FTP Access Filter i kliknemo na  Disable.
  • Možemo da konfigurišemo FTP filter da omogućimo read-only pristup ili read-write pristup za svako pravilo koje koristi FTP. Po default-u, FTP filter dozvoljava samo read pristup FTP serverima. Ako želimo da omogućimo Write pristup, potrebno je da lociramo pravilo pristupa u Firewall Policy kontejneru. Desni klik na pravilo pa na Configure FTP i obrišemo Read Only.

 

Aplikativni filter SOCKS Version 4

SOCKS mrežni komunikacioni metod je alternativa za WinSock proxy servis koji je omogućen korišćenjem Firewall klijenta i Firewall Servisa na ISA Serveru. SOCKS može da podrži skoro sve klijentske platforme, uključujući Microsoft Windows, UNIX/LINUX, Macintosh pa čak i nestandardne uređaje. Najčešće se koristi na kompjuterima koji nemaju instalirane Windows operativne sisteme u mešovitom kompjuterskom okruženju.

WINSOCK Proxy koji nudi Firewall klijent je transparentan za aplikacije. Znači, to je aplikacija koja ne mora da bude svesna da je mrežni zahtev prosleđen ka Proxy serveru iz razloga što Firewall klijent čini ovaj proces transparentnim. Ipak, da bi koristili SOCKS-based komunikacije, naša klijentska aplikacija mora da bude SOCKS kompatibilna i naš Firewall mora da podržava SOCKS konekcije.

Sledeći koraci opisuju kako se SOCKS aplikacija konektuje na server na drugoj mreži:

  1. SOCKS klijentska aplikacija šalje zahtev (paket) SOCKS kompatibilnom Firewall-u. Zahtev uključuje informacije kao što su IP adresa i broj porta odredišnog servera, i korisnikova identifikacija.
  2. SOCKS Server proverava zahtev i određuje da li postoji neko pravilo koje dozvoljava tip pristupa koji klijent zahteva.
  3. Ako je zahtev dozvoljen, server prosleđuje (Proxies) zahtev serveru koji se nalazi na internetu.
  4. Internet server vraća odgovor ka proxy serveru, koji dalje prosleđuje (proxies) odgovor koji je dobio od servera na internetu ka klijentu.

 

SOCKS filter na ISA Serveru

Sa SOCKS version 4 filterom, administratori mogu da dozvole ili blokiraju SOCKS komunikacije kroz kompjuter na kojem radi ISA Server. Kada je omogućen, filter će dinamički upravljati svim konekcijama da bi osigurao stabilnu i sigurnu komunikaciju za ovaj kompleksni protokol.

SOCKS filter koji daje ISA Server prosleđuje zahteve od SOCKS aplikacija ka Microsoft Firewall servisu. ISA Server proverava pravila pristupa da bi odredio da li SOCKS klijentska aplikacija može da komunicira preko interneta. ISA Server 2004 podržava SOCKS Version 4 kompatibilnu komunikaciju.

Kada instaliramo ISA Server, SOCKS filter je onemogućen na svim mrežama. Možemo da konfigurišemo ISA Server da sluša SOCKS zahteve na bilo kojoj mreži i na bilo kom portu. SOCKS aplikacije tipično šalju zahteve na port 1080, ali mi možemo da modifikujemo default-ni port na SOCKS filteru ako je SOCKS aplikacija konfigurisana da koristi drugi port.

Iz razloga što klijentski kompjuteri na kojima je instaliran Windows mogu da koriste Firewall klijenta umesto SOCKS klijenta, normalno je da nam neće trebati SOCKS filter na ISA Serveru ako se u našoj mreži nalaze samo Windows klijenti. Ovaj filter treba da se omogući samo ako naša mreža uključuje i klijente koji zahtevaju korišćenje SOCKS proxy-ja.

 

Drugi aplikativni i web filteri

Kada konfigurišemo Server publishing pravilo, mnogi omogućeni protokoli uključuju aplikativne filtere koji dozvoljavaju kompleksne klijent-server konekcije i u isto vreme kriju svoju kompleksnost od administratora.

ISA Server 2004 uključuje sledeće aplikativne filtere:

  • DNS filter - Dns filter dozvoljava organizaciji da zamaskira dolazeće DNS komunikacije od malicioznih komandi i podataka pre nego što stignu do DNS servera.
  • MMS filter - Microsoft Media Server (MMS) protocol je primarni Streaming Media technology protokol koji koriste Microsoft proizvodi. MMS je veoma sofisticiran protokol i ISA Server 2004 daje MMS filter administratorima koji upravljaju njegovom kompleksnošću.
  • PNM Filter - Progressive Networks Metafile filter omogućava da Media streams budu poslati ili primljeni koristeći RealNetworks, Inc. Products. PNM filter upravlja višestrukim portovima i konekcijama koje koriste ovaj protokol.
  • POP Intrusion detection filter - POP filter je dizajniran da zaštiti POP e-mail servere koji se nalaze u mreži kompanije od Buffer Overflow napada.
  • PPTP Filter - ISA Server 2004 može da se iskoristi da se zaštiti i dolazeća i odlazeća PPTP (Point-to-Point Tunneling Protocol) komunikacija. Sa ISA Server 2004, PPTP server može jednostavno da se postavi iza kompjutera na kojem radi ISA Server 2004 na internoj mreži. PPTP filter uprošćava konfiguraciju Firewall pravila za upravljanje ovakvim tipovima komunikacije.
  • RPC filter - Remote procedure Call (RPC) filter omogućava klijentima iz jedne mreže da pristupe RPC serverima na drugoj mreži. RPC filteri upravljaju prevodom kompleksnih brojeva portova u Universally unique identifier (UUID).
  • RTSP filter - Real time Streaming Protocol (RTSP) je streaming media format koji  koristi Apple Quicktime technology. Korišćenjem RTSP filtera, administratori mogu da dozvole ili da zabrane dolazeće ili odlazeće RTSP konekcije. Filter takođe upravlja RTSP konekcijama.
  • SMTP filter - SMTP filter koristi inspekciju sadržaja da bi proverio SMTP komande i osigurao da nisu potencialno opasne za e-mail server organizacije.


Kada konfigurišemo web pravilo objavljivanja (publishing rule), kompjuter na kojem radi ISA Server koristi web filtere da implementira karakteristike kao što su specijalni autentifikacioni mehanizmi i prevođenje linkova.

ISA Server 2004 uključuje sledeće web filtere:

  • OWA forms-based authentication filter - OWA forms-base autentifikacija je omogućena ovim filterom. Kada omogućimo ovaj filter na web pravilu objavljivanja, filter presreće autentifikacione zahteve i odrađuje sve autentifikacije, i prekida sve sesije koje su u time out-u ili one sesije sa kojih se korisnik izlogovao.
  • SecurID filter - Ovaj filter implementira autentifikacionu šemu drugog proizvođača RSA Data Security, Inc. SecurID zahteva od korisnika da daju drugo značenje dokazivanja njihovog identiteta.
  • RADIUS Authentication filter - RADIUS filter takođe omogućava ISA Server 2004 da podrži korisnike koji ne koriste Windows autentifikacije koristeći RADIUS tehnologiju.
  • Link Translation filter - Ovaj filter omogućava prevod imena internih servera u imena koja su dostupna na internetu.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Dodatni aplikacijski i web filteri 1
  • Dodatni aplikacijski i web filteri 2
  • Dodatni aplikacijski i web filteri 3