Server 2004
آشنايي با ISA Server 2004

آشنايي با ISA Server 2004



اره :
شركت مايكروسافت نرم‌افزارهاي متعددي را تحت عنوان Microsoft Server Systems در كنار سيستم‌عامل اصلي سرور خود يعني ويندوز 2000 تا 2003 عرضه كرده كه وظيفه ارايه سرويس‌هاي متعددي را از انواع ارتباطات شبكه‌اي گرفته تا امنيت و غيره به عهده دارند. در اين شماره قصد داريم به معرفي سرور كنترل ارتباط شبكه‌اي يعني ISA Server بپردازيم.

● آشنايي‌
برنامه قدرتمند ارتقاء و امنيت شبكه مايكروسافت ISA Server نام دارد. اين برنامه با استفاده از سرويس‌ها، سياست‌ها و امكاناتي كه در اختيار كاربران قرار مي‌دهد قادر است به عنوان راه‌حلي در ايجاد شبكه‌هاي مجازي
(VPN) و يا برپا كردن فضاي حايل به عنوان cache جهت دسترسي سريع‌تر به صفحات وب، مورد استفاده قرار گيرد. همچنين اين برنامه قادر است با ايجاد يك ديواره آتش در لايه Application شبكه، فعاليت سرويس‌هاي مختلف يك شبكه ويندوزي مثل وب سرور IIS، سرويس‌هاي دسترسي از راه‌دور (Routing and Remote Access) را از طريق فيلترگذاري و كنترل پورت‌ها، تحت نظر گرفته و فضاي امني را براي آن‌ها فراهم كند. اين برنامه با استفاده از نظارت دايمي خود بر پروتكل امنيتي SSL و فيلتر كردن درخواست‌هاي Http كه به سرور مي‌رسد، وب سرور و ايميل سرور را از خطر حمله هكرها دور نگه مي‌دارد. به همين ترتيب، كليه ارتباطات شبكه‌اي كه با يك سرور برقرار مي‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و يا IIS، بايد از سد محكم ISA عبور كنند تا درخواست‌ها و ارتباطات مشكوك با سرور مسدود گردد.
سايت مايكروسافت براي بررسي اهميت وجود ISA در يك شبكه، كليه راه‌حل‌هاي اين برنامه را كه با استفاده از سرويس‌ها و امكانات ويژه موجود در آن، ارايه گشته است به هفت سناريو يا وضعيت مختلف تقسيم كرده كه به آن‌ها مي‌پردازيم. (تصاوير مقاله از سايت مايکروسافت برداشته شده اند)

● سناريوي اول‌







شكل 1


از ISA براي تأمين امنيت ايميل‌ها استفاده مي‌شود. ISA Server با استفاده از دو روش استاندارد يعني SSL decryption وهمچنين Http Filtering اولاً از ورود كدهاي مشهور به malicious كه عمدتاً بدنه انواع كرم‌ها و ويروس‌ها را مي‌سازند جلوگيري به عمل مي‌آورد و ثانياً محتواي درخواست‌هاي Http را براي بررسي مجوز دسترسي آن‌ها و صلاحيت دريافت و ارسال اطلاعات مورد كنكاش قرار مي‌دهد. در اين حالت، ISA همچنين از هر نوع اتصال افراد با اسم كاربري anonymous كه مي‌تواند منشأ شكستن رمزعبورهاي مجاز يك سرويس‌دهنده ايميل شود، جلوگيري مي‌كند. به هر حال با وجود اين كه يك ايميل سرور مثل Exchange راه‌حل‌هاي امنيتي مخصوص به خود را دارد، اما وجود ISA به‌عنوان ديواره آتش يك نقطه قوت براي شبكه به حساب مي‌آيد. ضمن اين‌كه در نسخه‌هاي جديد ISA امكان ايجاد زنجيره‌اي از سرورهاي ISA كه بتوانند با يك سرورExchange در تماس بوده و درخواست‌هاي كاربران را با سرعت چند برابر مورد بررسي قرار دهد باعث شده تا اكنون به ISA عنوان فايروالي كه با قدرت انجام توازن بار ترافيكي، سرعت بيشتري را در اختيار كاربران قرار مي‌دهد در نظر گرفته شود. (شكل 1)


● سناريوي دوم






شكل 2


ISA مي‌تواند در تأمين امنيت و دسترسي از راه دور نيز مورد استفاده قرار گيرد. در اين سناريو، يك شركت برخي از اطلاعات سازمان خود را براي استفاده عموم در معرض ديد و يا استفاده كاربران خارج از سازمان قرار مي‌دهد. به عنوان مثال بسياري از شركت‌ها مسايل تبليغاتي و گاهي اوقات سيستم سفارش‌دهي خود را در قالب اينترنت و يا اينترانت براي كاربران باز مي‌گذارند تا آن‌ها بتوانند از اين طريق با شركت ارتباط برقرار نمايند. در اين صورتISA مي‌تواند به صورت واسط بين كاربران و سرويس‌هاي ارايه شده توسط وب سرور يا بانك‌اطلاعاتيSQLServer كه مشغول ارايه سرويس به محيط خارج است، قرار گرفته و بدين‌وسيله امنيت دسترسي كاربران به سرويس‌هاي مجاز و حفاظت از منابع محرمانه موجود در سيستم‌ را فراهم آورد.

(شكل 2)

● سناريوي سوم‌






شكل 3
در اين سناريو، دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخي موارد همكاري اطلاعاتي دارند، توسط فضاي اينترنت و از طريق سرورها و دروازه‌هاي VPN با يكديگر در ارتباط هستند. به عنوان مثال يكي از شركاي يك شركت تجاري، محصولات آن شركت را به فروش رسانده و درصدي از سود آن را از آن خود مي‌كند. در اين روش به صورت مداوم و يا در ساعات معيني از شبانه‌روز، امكان ردوبدل اطلاعات بين دو شركت مذكور وجود دارد. در اين زمان ISA مي‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالي و دريافتي در حين مبادله جلوگيري كند، در حالي كه هيچكدام از دو طرف احساس نمي‌كنند كه فضاي حايلي در اين VPN مشغول كنترل ارتباط بين آن‌هاست. به علاوه اين‌كه با وجود ISA، كاربران براي اتصال به سايت يكديگر بايد از دو مرحله Authentication (احراز هويت) يكي براي سرور يا دروازه VPN طرف مقابل و ديگري براي ISA عبور كنند كه اين حالت يكي از بهترين شيوه‌هاي برقراري امنيت در شبكه‌هاي VPN است. در اين سناريو، وجود يك ISA Server تنها در طرف سايت اصلي يك شركت مي‌تواند، مديريت برقراري امنيت در كل فضاي VPN هر دو طرف را به‌عهده گيرد و با استفاده از ديواره آتش لايه Application از عبور كدهاي مشكوك جلوگيري كند. (شكل 3)



● سناريوي چهارم‌






شكل 4
در سناريوي چهارم، يك شركت قصد دارد به عنوان مثال تعدادي از كارمندان خود را قادر به كار كردن با سيستم‌هاي دروني شركت از طريق يك ارتباط VPN اختصاصي بنمايد. در اين حالت براي دسترسي اين قبيل كارمندان به سرور شركت و عدم دسترسي به سرورهاي ديگر يا جلوگيري از ارسال ويروس و چيزهاي مشابه آن، يك سد محكم به نام ISA ترافيك اطلاعات ارسالي و يا درخواستي را بررسي نموده و درصورت عدم وجود مجوز دسترسي يا ارسال اطلاعات مخرب آن ارتباط را مسدود مي‌كند. (شكل 4)

● سناريوي پنجم‌



شكل 5



سناريوي بعدي زماني مطرح مي‌شود كه يك شركت قصد دارد با برپايي يك سيستم مركزي در محل اصلي شركت، ساير شعبات خود را تحت پوشش يك سيستم (مثلاً يك بانك‌اطلاعاتي) متمركز درآورد. از اين رو باز هم در اينجا مسأله اتصال شعبات شركت از طريق VPN مطرح مي‌شود. در اين صورت ISA با قرار داشتن در سمت هر شعبه و همچنين دفتر مركزي به صورت آرايه‌اي از ديواره‌هاي آتش (Array of Firewall) مي‌تواند نقل و انتقال اطلاعات از سوي شعبات به دفتر مركزي شركت و بالعكس را زيرنظر داشته باشد. اين مسأله باعث مي‌شود تا هر كدام از شعبات و دفتر مركزي به منابع محدودي از يكديگر دسترسي داشته باشند. در ضمن با وجود امكان مديريت و پيكربندي متمركز كليه سرورهاي ISA نيازي به مسؤولين امنيتي براي هر شعبه نيست و تنها يك مدير امنيت، از طريق ISA سرور موجود در دفتر مركزي مي‌تواند كليه ISA سرورهاي شعبات را تنظيم و پيكربندي كند. (شكل 5)


● سناريوي ششم‌






شکل 6
كنترل دسترسي كاربران داخل دفتر مركزي به سايت‌هاي اينترنتي، سناريوي ششم كاربرد ISA محسوب مي‌شود. در اين جا ISA مي‌تواند به كمك مدير سيستم آمده، سايت‌ها، لينك‌هاي URL و يا انواع فايل‌هايي كه از نظر وي نامناسب تشخيص داده شده، را مسدود كند. در همين هنگام فايروال نيز كار خود را انجام مي‌دهد و با استفاده از سازگاري مناسبي كه بين ISA و Active Directory ويندوز وجود دارد، اولاً از دسترسي افراد غيرمجاز يا افراد مجاز در زمان‌هاي غيرمجاز به اينترنت جلوگيري شده و ثانياً مي‌توان از اجراشدن برنامه‌هايي كه پورت‌هاي خاصي از سرور را مثلاً جهت استفاده برنامه‌هاي Instant Messaging مورد استفاده قرار مي‌دهند، جلوگيري نمود تا بدين‌وسيله ريسك ورود انواع فايل‌هاي آلوده به ويروس كاهش يابد.

(شكل 6)


● سناريوي هفتم‌





در تمام سناريوهاي قبلي كه ISA در برقراري ارتباط مناسب و امن بين سايت‌هاي اينترنت، كاربران يا شعبات شركت نقش مهمي را ايفا مي‌كرد، يك سناريوي ديگر نيز نهفته است و آن افزايش سرعت انتقال اطلاعات بين تمام موارد فوق از سايت‌هاي اينترنتي گرفته تا اطلاعات سازماني است. سيستم cache Array موجود در اين برنامه باعث مي‌شود تا هر كدام از كاربران چه در محل اصلي شركت و چه از محل شعبات بتوانند براي ديدن اطلاعات يا سايت‌هاي مشابه راه ميان‌بر را رفته و آن را از هر كدام از ISAهاي موجود در شبكه VPN يا LAN دريافت كنند و بدين‌وسيله حجم انتقال اطلاعات با محيط خارج را تا حدود زيادي در سيستم متوازن نمايند.

● عملكرد

ISA Server كليه سناريوهاي تعيين شده را براساس سه قاعده مختلف يعني سيستم، شبكه و ديواره آتش محقق مي‌سازد كه در اين‌جا به اين سه قاعده اشاره مي‌كنيم.


1- Network Rule
ISA Server با استفاده از قوانين شبكه‌اي موجود و تعريف‌شده در بانك‌اطلاعاتي خودش نحوه ارتباط دو يا چند شبكه را به يكديگر در يك فضاي معين، مشخص مي‌سازد. در اين قاعده كه توسط مدير سيستم قابل تنظيم است مشخص مي‌گردد كه شبكه‌هاي موردنظر طبق كدام يك از دو روش قابل‌طرح، به يكديگر متصل مي‌شوند. اين دو روش عبارتند از:


الف- Network Address Translation) NAT)
اين روش، يك ارتباط يك طرفه منحصربه‌فرد است. بدين معني كه هميشه يكي از شبكه‌ها نقش شبكه اصلي و داخلي (Internal) و بقيه شبكه‌ها نقش شبكه‌هاي خارجي (External) را بازي مي‌كنند. در اين روش شبكه داخلي مي‌تواند قوانين و شيوه دسترسي به اطلاعات و ردوبدل شدن آن‌ها در فضاي بين شبكه‌ها را تعيين كند ولي اين امكان از ساير شبكه‌هاي خارجي سلب گرديده و آن‌ها تابع قوانين تعريف شده در شبكه داخلي هستند. در اين روش همچنين ISA آدرس IP كامپيوترهاي مبدا يك ارتباطNAT را به وسيله عوض كردن آن‌ها درIP خارجي خودش، از ديد كامپيوترهاي يك شبكه (چه كامپيوترهاي متصل از طريق LAN و چه كامپيوترهاي خارجي) مخفي مي‌كند. به عنوان مثال، مدير يك شبكه مي‌تواند از ارتباط بين كامپيوترهاي متصل شده از طريق VPN را با فضاي اينترنت از نوع يك رابطه NAT تعريف كند تا ضريب امنيت را در اين ارتباطات بالا ببرد.


ب - Rout
اين نوع ارتباط يك ارتباط، دو طرفه است. بدين معني كه هر دو طرف مي‌توانند قواعد امنيتي خاصي را براي دسترسي شبكه‌هاي ديگر به شبكه محلي خود تعريف كنند. به‌عنوان مثال ارتباط بين شبكه‌هاي متصل شده به يكديگر در فضاي VPN مي‌تواند يك ارتباط از نوع Rout باشد.
با توجه به اين مسايل ارتباطات قابل اطمينان يك شبكه با شبكه‌هاي مجاور (مثل شعبات شركت) مي‌تواند از نوع Rout و ارتباطات محتاطانه شبكه با كاربران خارجي و كساني كه از طريق RADIUS يا وب به شبكه دسترسي دارند مي‌تواند از نوع NAT تعريف شود.


2- Firewall Rule




علاوه بر نقش مستقيمي كه سياست‌هاي تعريف‌شده در قواعد ديواره آتش در نحوه ارتباط بين شبكه‌ها بازي مي‌كند و مي‌تواند موجب مسدود شدن ارتباطات خارج از قواعد تعريف شده درNetwork Rule شود، اين قواعد همچنين مي‌توانند با تعريف دقيقي كه از پروتكل‌هاي Http ،FTP، DNS،RPC و ... انجام ‌دهند، كليه درخواست‌ها از انواع مذكور را زيرنظر گرفته و به عبارتي فيلتر نمايند. در اين روش مدير امنيت شبكه مي‌تواند امكان دسترسي تعدادي از كاربران را در ساعات خاص و به محتواي مشخص مجاز يا غيرمجاز كند. به عنوان مثال وي مي‌تواند نمايش تصاوير موجود برروي صفحات وب را از طريق فيلتركردن فهرستي از پسوندهاي انواع فايل‌هاي گرافيكي در يك قاعده از نوع Http ، مسدود كند در حالي كه كاربران همچنان بتوانند آن فايل‌ها را از طريق پروتكل ديگري مثلFTP دريافت يا ارسال كنند.

همچنين در قواعد مربوط به فايروال مي‌توان دسترسي كاربران و يا گروه‌هاي كاربري را به تعدادي از آدرس‌هاي URL يا IPهاي مشخص مسدود كرد. ضمن آن‌كه قواعد مربوط به نحوه دسترسي كاربران براي انجام اموري مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همين جا تعريف مي‌گردد.


3- System Rule
در اين قسمت بيش از سي قاعده مربوط به دسترسي وجود دارد كه قابل انتساب به شبكه محلي مي‌باشند. اين قواعد نحوه ارتباط سرويس‌هاي يك شبكه را با يكديگر و همچنين با ISA مشخص مي‌نمايد. به عنوان مثال سرويسDHCP كه كليه درخواست‌ها و پاسخ‌هاي مربوط به انتساب ديناميك آدرسIP به كامپيوترهاي يك شبكه را مديريت مي‌كند، يا سرويس DSN كه وظيفه ترجمه اسامي و آدرس‌هاي شبكه را انجام مي‌دهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعيت خود در شبكه و با سرورهايي كه سرويس‌هاي فوق را ارايه مي‌دهند تشخيص دهد و هم با اطلاع از نحوه پيكربندي شبكه و ارتباط آن با محيط خارج اقدام به كنترل آن از طريق قواعد مربوط به شبكه و ديواره آتش بنمايد. به طور كلي سياست‌هاي موجود در قواعد سيستمي روابط ميان ISA و ساير منابع و سرورهاي موجود در شبكه را مشخص مي‌نمايند