Microsoft ISA Server 2004 koristi Web i Server pravila objavljivanja za objavljivanje internih mrežnih resursa na internet bez kompromitovanja interne mrežne sigurnosti. Web pravila objavljivanja određuju kako ISA Server obrađuje HTTP i HTTPS zahteve sa interneta koji su upućeni ka internim Web serverima. Server pravila objavljivanja definišu kako ISA Server odgovara zahtevima sa interneta za pristup drugim mrežnim resursima na internoj mreži. ISA Server administrator mora da bude dobro upoznat sa ovim pravilima da bi mogao na siguran način da objavi interne mrežne resurse na internetu.

Ova lekcija vas upoznaje sa konceptom objavljivanja internih mrežnih resursa na internetu koristeći ISA Server 2004. Upoznaćete se sa konceptom web objavljivanja. Takođe videćete kako se konfiguriše DNS Domain Name System da bi mogao da obezbedi web objavljivanje.

Web pravila objavljivanja (publishing rules)

ISA Server koristi Web pravilo objavljivanja da bi omogućio korisnicima na internetu pristup web sajtovima. Web pravilo objavljivanja je Firewall pravilo koje određuje kako će ISA Server rutirati dolazeće zahteve za pristup internim Web Serverima.
Web pravilo objavljivanja (publishing rule) nudi:

• Access to Web Servers running HTTP protocol - Kada konfigurišemo Web publishing rule (pravilo objavljivanja), možemo da konfigurišemo ISA Server da osluškuje i čeka HTTP zahteve sa interneta i prosleđuje zahteve na Web server koji se nalazi u zaštićenoj mreži.
• Application-layer filtering - Application-layer filtering omogućava ISA Serveru da proverava podatke aplikacija u svakom paketu koji prolazi kroz ISA Server. Ovo uključuje filterisanje SSL (Secure Socket Layer) paketa ako smo omogućili SSL Bridging. Ovo nudi dodatni nivo sigurnosti koja ne postoji u Server pravilu objavljivanja.
• Path Mapping - Mapiranje staze omogućava administratorima da sakriju detalje konfiguracije internog web sajta redirektovanjem (preusmeravanjem) eksternih zahteva za delove web sajta na alternativne lokacije unutar internog web sajta. Ovo znači da možemo da ograničimo pristup samo specifičnim delovima web sajta.
• User Authentication - Možemo da konfigurišemo ISA Server da zahteva od svih eksternih korisnika autentifikaciju pre prosleđivanja njihovih zahteva ka Web serveru koji hostuje objavljeni materijal. Ovo štiti interni Web server od autentifikacijskih napada. Web pravila objavljivanja podržavaju nekoliko metoda autentifikacije uključujući RADIUS, Integrated, Basic, Digest, Digital Certificates, RSA SecureID.
• Content Caching - Sadržaj sa internog Web servera može biti keširan na ISA Serveru, što poboljšava vreme koje je potrebno da bi internet korisnik dobio traženi materijal i takođe smanjuje opterećenje  Web servera.
• Support for Publishing multiple Web sites using a single Internet Protocol (IP) address - Administrator može da konfiguriše nekoliko web pravila objavljivanja koji mogu da omoguće veći broj web sajtova internet klijentima.
• Link translation - Sa prevođenjem linka, administrator će moći da konfiguriše pristup kompleksnijim web  stranicama koje uključuju reference ka drugim internim Web serverima koji nisu direktno omogućeni i pristupačni sa interneta. Bez prevođenja linka, svaki link ka serveru kome ne može da se pristupi sa interneta će biti prikazan kao polomljen link (broken link).
• Support for logging of the Internet client's IP address - Po default-u, kada administrator objavi server koristeći web pravilo objavljivanja, izvorišna IP adresa koju je primio interni web server je IP adresa internog interfejsa na ISA Serveru. Ako je potrebno da budete u mogućnosti da zapišete pristup u Logu na Web serveru na osnovu IP adrese klijentskog kompjutera na internetu, možete da modifikujete default-ne postavke.

Sigurnosna Web pravila objavljivanja su specijalni tipovi Web pravila objavljivanja koja povećavaju sigurnost web sajta enkriptovanjem (šifrovanjem) mrežnog saobraćaja koristeći SSL. ISA Server podržava oba SSL Tunneling i Bridging.

• SSL Tunneling - Sa SSL tunneling-om, ISA Server može da šifruje i dešifruje sav mrežni saobraćaj između servera i klijenta. U ovakvom scenariju ISA Server ne može da odrađuje inspekciju sadržaja paketa.
• SSL Bridging - Sa SSL Bridging-om, ISA Server može da šifruje i dešifruje sav mrežni saobraćaj  između servera i klijenta. U ovom scenariju, ISA server može da prihvati SSL zahteve od klijenata, i nakon toga može da ih konvertuje u HTTP i prosledi ka objavljenom Web serveru. ISA Server može takođe da bude konfigurisan da ponovo šifruje saobraćaj koji šalje do Web servera da bi obezbedio dodatni nivo sigurnosti. U SSL Bridging scenariju ISA Server može da izvrši proveru sadržaja paketa dok paketi nisu šifrovani.

DNS konfiguracija za objavljene Web servere

Jedan od komplikovanijih problema kada objavljujemo Web servere na internetu je DNS rezolucija imena (Name Resolution). Često, klijenti sa interne mreže, kao i klijenti sa interneta, imaju potrebu da se konektuju na isti Interni Server koristeći isto DNS ime. Ipak, interni klijenti obično se povezuju na drugu IP adresu od eksternih klijenata. Solucija je izgradnja SPLIT DNS-a.

Split DNS koristi dva različita DNS servera koji imaju isto DNS domen ime koji nude razrešavanje imena za interne i eksterne resurse. Oba DNS servera su autoritativna za isto domen ime. Na primer, Linkgroup će možda izgraditi Web Server u svojoj Perimeter mreži pod imenom www.linkgroup.com koji treba da bude dostupan korisnicima na internoj mreži i korisnicima na internetu. Ipak, kada korisnici sa interneta pristupe ovom sajtu, oni bi trebali da budu prebačeni na eksterni interfejs na ISA Serveru. Interni korisnici bi trebali da budu prebačeni na aktuelnu IP adresu Web servera.

Implementacija SPLIT DNS-a zahteva dva DNS Servera koja bi trebalo da hostuju isto DNS doman ime. Na primer, u scenariju sa web objavljivanjem, jedan DNS server, koji koriste svi interni klijenti, bi imao host zapis za Web server koji prebacuje zahteve na aktuelnu IP adresu Web Servera. Drugi DNS server, koji koriste internet klijenti, ima host zapis za Web server koji prebacuje zahteve na IP adresu eksternog interfejsa ISA Servera.

Sa Split DNS-om, korisnici sa interne mreže i sa interneta mogu da pristupe web sajtu na sledeći način:

1. Kada internet klijenti žele da pristupe Web serveru, oni moraju da razreše ime www.linkgorup.com. Klijent šalje upit DNS Serveru na internetu. Server će odgovoriti sa IP adresom eksternog interfejsa ISA Servera.
2. Klijent će zatim poslati web zahtev ka IP adresi koju je dobio od DNS servera, i ISA Server će proslediti zahtev Web serveru.
3. Kada interni klijenti žele da pristupe Web Serveru, oni će postaviti upit internom DNS serveru da razreši ime www.linkgorup.com u IP adresu. Interni DNS server će poslati klijentu aktuelnu IP adresu Web servera. Interni klijent će se zatim direktno povezati na interni Web server. Ako se Web server nalazi na Perimeter mreži, zahtev će proći kroz ISA Server.

Komponente web pravila objavljivanja (publishing rules)

Web Publishing Rules mapiraju dolazeće zahteve ka odgovarajućem Web Serveru koji se nalazi na internoj ili Perimeter mreži. Web pravila objavljivanja određuju kako ISA Server presreće dolazeće zahteve za HTTP objekte na Web serveru, i kako će ISA Server odgovoriti u korist Web servera. Zahtevi se prosleđuju Web serveru koji se nalazi na internoj ili Perimeter mreži. Ako je keširanje omogućeno na ISA Serveru, zahtevi će možda biti servisirani iz keša ISA Servera.

Kada konfigurišemo web pravilo objavljivanja potrebno je da konfigurišemo sledeće komponente:

• Action
• Name (or IP address)
• Users
• Traffic Source
• Public Name
• Web Listener
• Path Mappings
• Bridging
• Link Translation

Path Maping-a

Path Maping je karakteristika ISA Servera koja omogućava ISA Serveru da preusmerava korisničke zahteve internim Web serverima ili kao više lokacija na jednom Web Serveru.  Path Maping se koristi za web i Secure web pravila objavljivanja. Path maping se koristi na ISA Serveru da bi sakrili kompleksnost internog Web servera od interneta.

Web Listeners

Web Listeners se koristi za Web i Secure Web pravila objavljivanja. Web Listener (osluškivač) je ISA Server konfiguracioni objekat koji definiše kako ISA Server kompjuter osluškuje HTTP zahteve i SSL zahteve. Web listener definiše IP adresu i port na kojem ISA Server osluškuje za klijentske konekcije.

Osim ako nismo konfigurisali Web Listener-a za dolazeće zahteve, ISA Server odbacuje sve dolazeće web zahteve pre dodeljivanja Web Server pravila objavljivanja. Ako kompjuter ISA Server ima nekoliko mrežnih adaptera ili IP adresa, administrator može da konfiguriše istu Listener konfiguraciju za sve IP adrese. Web listener može biti iskorišćen u višestrukim web pravilima objavljivanja.

Da bi uspešno konfigurisali Web Listener-a moramo da konfigurišemo sledeće opcije:

• Network (mrežu)
• Port Numbers (Brojeve portova)
• Client Authentication methods
• Client Connection settings (postavke klijentske konekcije)

Link Translation

Link Translation koriste Web i Secure web pravila objavljivanja. Link Translation je ISA Server konfiguracioni objekat koji omogućava ISA Serveru da zameni imena internih servera na Web stranama sa imenima servera koji su pristupačni za intrenet korisnike.

Neki objavljeni web sajtovi mogu da sadrže reference ka internim imenima kompjutera. Ovi interni kompjuteri nisu pristupačni za klijente koji su izvan interne mreže, tako da ove reference mogu da se pojave kao polomljeni linkovi (broken links). ISA Server uključuje Link Translation karakteristiku da bi osigurao da informacija na ovim serverima bude pristupačna (dostupna) internet klijentima koji ne znaju interna imena ovih servera.

ISA serveri nude nekoliko nivoa funkcionalnosti Link Translation-a tako da administratori mogu da konfigurišu odgovarajući nivo konektivnosti linka:

• Header link translation - Osigurava da bilo koji URL koji se šalje korisniku bude preveden u eksterno prepoznatljiv URL.
• Translation of links in the body of returned Web page - Ove funkcije imaju istu funkciju kao i Header Link Translation, ali uključuju linkove koji se šalju u telu (body) web stranica.
• Translation of links to other internal Web pages - Link Translation radi samo za linkove Web servera preciziranim u web pravilima objavljivanja. Ako želimo da linkovi ka drugim Web serverima takođe budu prevedeni, administrator moraju da daju informaciju o tome kako se prevodi svaki link. Ova informacija se smešta u ISA Server Link dictionary.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Konfiguracija web objavljivanja 1

• Konfiguracija web objavljivanja 2

• Konfiguracija web objavljivanja 3
• Konfiguracija web objavljivanja 4
• Konfiguracija web objavljivanja 5

• Konfiguracija web objavljivanja 6

• Konfiguracija web objavljivanja 7