Im Test: Microsoft Intelligent Application Gateway
Mit dem IAG zum abgesicherten Portal
Forefront ist der neue Sammelbegriff für Microsofts Sicherheitsprodukte. Dazu gehören der Internet Security and Acceleration Server (ISA), die Sicherheits-Tools für die Desktops, Exchange und Sharepoint und das Intelligent Application Gateway, das wir für diese Ausgabe getestet haben.
Das Intelligent Application Gateway (IAG) von Microsoft ist im Kern ein SSL-VPN-Gateway. Es soll
den Zugriff beliebiger Endgeräte auf Applikationen oder Verzeichnisse im Unternehmensnetz
kontrolliert bereitstellen. Die Konfigurationsmöglichkeiten erlauben den Aufbau von Portalen für
die Benutzer. Der Clou beim IAG liegt in einer recht ausgefeilten Berechtigungslogik: In
Abhängigkeit von der Person, ihrem Ort, der Zeit und dem Sicherheitszustand des Zugang suchenden
Geräts werden unterschiedliche Anwendungen und Rechte für die Geräte und Nutzer abgeleitet. So
erhält ein mobiler Mitarbeiter, der sich mit einem als sicher erkannten Firmen-Notebook anmeldet,
vollständigen Zugriff auf die ihm zugewiesenen Ressourcen. Meldet er sich mit dem gleichen Gerät
an, wenn dieses mit Viren verseucht ist, bekommt er nur eingeschränkten Zugriff. Noch weniger
Rechte werden ihm zugestanden, wenn er sich von einem PC im Internetcafé aus einwählt. Die
Grundlage für diese Aktionen liegt in einer Policy-basierten Authentifizierung und
Autorisierung.
Dritthersteller wie Celestix installieren das IAG auf Appliances vor und reichern es meist um
bessere Verwaltungsfunktionen an. Der Schutz des Gateways selbst vor Angriffen erfolgt durch den
ISA 2006. Daher werden die Funktionen des Gateways immer mit denen des ISA auf einer gemeinsamen
Hardware installiert.
Die Appliance von Celestix
Für den LANline-Test stellte uns ein Vertriebspartner von Celestix das Modell WSA 3000 zur
Verfügung. Celestix liefert die Appliance in unterschiedlichen Ausbaustufen. Die 3000er Variante
ist als 19-Zoll-Einschub mit einer Höheneinheit konzipiert und enthält einen Standardrechner mit
4,2 GByte RAM und einer 80-GByte-Festplatte. Sie kostet inklusive zehn SSL-VPNs 5632 Euro. Zum
Umfang des Produkts gehören neben der Hardware das Betriebssystem, ISA und IAG, Patch-Kabel und die
Dokumentation auf CD. Celestix hat der auf der Vorderseite sechs Netzwerk-Interfaces integriert.
Wird die Standardkonfiguration beibehalten, so sollte das interne Netz, das LAN, mit dem Anschluss
0 verbunden werden. Der Anschluss 1 ist dann für das WAN vorgesehen. Die übrigen vier
Netzwerk-Interface lassen sich weiteren LAN-Segmenten oder DMZs zuweisen. Alle Interfaces sind für
10, 100 und 1000 MBit ausgelegt. Des Weiteren finden sich auf der Vorderseite zwei USB-Ports, ein
serieller Konsolenanschluss und Kontroll-LEDs sowie ein zweizeiliges LCD-Display samt Bedienknopf.
Die Lüfter arbeiten lastabhängig.
Auf der Rückseite des Geräts finden sich ein VGA- und ein USB-Anschluss, ein serieller Port,
vier Lüfter sowie der Stromanschluss samt Ein/Ausschalter. Das PDF-Handbuch ist ebenso wie alle
Dialoge und Menüs in englisch gehalten und erklärt die notwendigen Schritte hinreichend. Zur
Konfiguration kann das Gerät über einen Webbrowser und ein HTML-Interface eingestellt werden. Da
sich auf der Box ein vollständiger Windows Server 2003 mit dem Internet Acceleration Server (ISA)
befindet, besteht ferner die Möglichkeit, eine Terminal Server Session aufzubauen. Dazu muss eine
RDP-Session erlaubt sein. Wenn dies nicht der Fall ist, dient das Webinterface jedem Browser als
Verwaltungsschnittstelle. Die initiale Konfiguration wird allerdings über einen Kontrollknopf an
der Vorderseite in Verbindung mit dem LCD-Display vorgenommen. Zu den ersten Einstellungen zählen
die IP-Adressen für die Netzwerk-Interfaces oder der Shutdown und Reboot des Systems.
Des Weiteren sind die Adressen für das WAN, LAN und die DMZs einzurichten. Dies kann unmittelbar
an der Appliance oder durch die Verwaltungskonsolen erfolgen. Um die Box aus der Ferne verwalten zu
können, ist in jedem Fall ihre IP-Adresse an den Verwaltungsrechner anzupassen oder umgekehrt.
Darüber hinaus muss die Fernverwaltung der Appliance explizit erlaubt und eingerichtet sein.
Ansonsten blockt der integrierte ISA den Zugriff von außen ab. Die Einrichtung erfolgt durch die
Definition einer IP-Adresse oder IP-Range für die erlaubten Verwaltungsgeräte. Über einen Browser
ruft man unter Eingabe der IP-Adresse und des Ports 10000 die integrierte Verwaltungsoberfläche
auf, eine Erweiterung von Celestix für den IAG. Sie umfasst diverse Verwaltungsfunktionen für die
Appliance, die über die reinen IAG-Funktionen hinausgehen. Dazu gehören beispielsweise Funktionen
zum Einrichten der Interfaces, dem Setzen von Datum und Zeit, Einrichten und Ändern von
Benutzerberechtigungen und Passworten, Rechnernamen oder der Domänenzugehörigkeit.
Dies sind auch die ersten Konfigurationsschritte, die wir im Rahmen dieses Tests durchführten.
Ferner haben wir über eine integrierte Funktion die Updates von der Website des Herstellers geladen
– was nach Bereitstellen der Internetanbindung, reibungslos funktionierte. Alternativ können diese
Arbeiten aber auch durch die erwähnte Terminal Server Session direkt auf der Appliance ausgeführt
werden. Ein zentrales Element bei Zugriffen aus der Ferne auf die Ressourcen des Unternehmens
stellen die Sicherheitsvorkehrungen dar. Daher müssen alle Benutzer eine Authentifizierung
durchlaufen. Dies kann durch diverse Authentifizierungssysteme wie etwa LDAP, RADIUS, Novell
Directory, Notes Directory, NT-Verzeichnis und natürlich das Active Directory erfolgen. Zur
Anbindung an das Active Directory integrierten wir die Box anschließend in die Windows-Domäne. Im
Test jedoch klappte just diese Integration im ersten Anlauf nicht und wurde mit einer wenig
aussagekräftigen Fehlermeldung quittiert.
Da wir schon mehrere Änderungen vorgenommen hatten, entschieden wird uns für einen Neuanfang.
Dazu liefert der Hersteller, unterstützt durch eine zweite Partition, ein "Factory Reset". Diese
ist bei Boot über den Druckknopf anzuwählen. Nach dem Reset und der erneuten Konfiguration klappte
es auch mit der Domänenintegration. Sind all diese Einstellungen vorgenommen und der Reboot nach
der Namensänderung oder Domänenintegration erfolgt, steht der weiteren Verwaltung nichts mehr im
Wege. Diese kann über das Celestix-Web-GUI oder direkt aus der Windows-Umgebung gestartet werden.
Zu Beginn wird ein spezielles IAG-Passwort verlangt. Es ist unabhängig vom Windows-Passwort und
wird bei kritischen Funktionen des IAG benötigt.
Der Kern des IAG ist, wie oben erwähnt, die Bereitstellung von Portalen für unterschiedlichste
Benutzer, abhängig von ihrer Lokation, dem verwendeten Rechner und dessen Sicherheitsstatus. Diese
Portale werden im IAG als Trunk (Plattform) bezeichnet. Ein Trunk wiederum enthält die zugewiesenen
Applikationen. Unterstützt werden Trunks wie etwa der Portal-Trunk, Redirection Trunks mit dem
Zwang zur HTTPS-Nutzung und eine Variante mit nur einer einzigen Webanwendung. Beim Anlegen der
Trunks helfen Assistenten.
Im Test richteten wir einen Portal-Trunk ein. Diesem ist eine Webadresse zuzuordnen, über welche
die Clients dann das Portal finden. Zusammen mit dem Portal-Trunk wird die Startseite des Portals
erzeugt. Anschließend machten wir uns an die Integration der Applikationen. Hier unterstützt das
Tool eine Vielzahl an vorbereiteten Anwendung wie etwa diverse Domino-, Notes- und
Outlook-Zugriffe, Microsoft CRM, SAP, People Soft, Websphere, Sametime, Sharepoint und Citrix sowie
die Zugriffe auf Terminal Services, File-Shares und FTP-Dienste.
Als erste Anwendung integrierten wir den Web Monitor, eine Überwachungskomponente für den
Administrator zum Monitoring der Aktionen des IAG-Portals. Zu den gebotenen Inhalten zählen
Informationen über die Benutzer, ihre Sessions, die Trunks und die aktiven Applikationen. Die
Feineinstellung ist über "Properties" vorzunehmen. Dort finden sich etwa die Application-URL,
Pfadangaben zur Applikation und weitaus mehr. Unter dem Reiter "Authorization" ist zu bestimmen,
wer die Applikation nutzen darf und wo die IAG zu dessen Autorisierung nachfragt.
Im Test verwendeten wir, wie vermerkt, das Active Directory und die hierin eingetragenen
Administratoren. Über eine selektive Zuweisung an dieser Stelle ist der Inhalt des Portals zu
bestimmen, das der Benutzer zu Gesicht bekommt. Der Inhalt wird dynamisch über die Auswertung der
Authorization-Einträge zusammengestellt. Eine weitere Einstellungen ist jene zu den
Endpoint-Policies. Hier wird festgelegt, welchen Bedingungen der Client genügen muss, damit er die
Applikation aufrufen kann. Bei der Aktivierung der Konfiguration passt das Tool auch die ISA-Regeln
entsprechend an.
Wit testeten unsere bisherigen Arbeiten nun mittels eines Clients. Mit dessen Browser verbindet
man sich mit dem IAG-Gateway. Beim ersten Aufruf wird ein Activex-Control oder Java-Applet zum
Client gesandt. Dieses übernimmt vor Ort die Kommunikation mit dem Gateway. Anschließend erfolgt
die Untersuchung des Clients auf die Sicherheitskriterien. Schließlich erscheint die Login-Maske.
Die Credentials werden vom IAG durch den eingestellten Authentifizierungsdienst geprüft. Dann
erscheint das Portal.
Die dem Anwender präsentierten Applikationen werden aus den Einträgen der Authorization und den
Endpoint-Policies abgeleitet. Was er mit der Anwendung anstellen darf, bestimmen weitere Parameter
wie etwa "Download, Upload". So kann etwa festgelegt werden, dass auch ein berechtigter Benutzer
auf fremden Geräten keine Downloads ausführen darf, damit nicht ungewollt Daten dort
verbleiben.
In unserem Fall war die erste Anwendung der Web Monitor. Anschließend integrierten wir die
Terminal Services in das Portal. Hierzu stellt das IAG eine vorbereitete Konfiguration bereit. Zu
den spezifischen Einträgen einer Terminal Server Session zählt die Adresse des Server.
Die dritte integrierte Applikation war der Zugang auf Exchange via Outlook Web Access. Die
Integration verläuft analog zu den bisher beschrieben Verfahren. Der Exchange-Server lief in einer
virtuellen Instanz des Virtual Servers. Der Zugriff und Versand von Mails war reibungslos
durchführbar. Schließlich richteten wir noch eine Dateifreigabe (File-share) ein und konnten vom
entfernten Client auf Freigaben eines Servers zugreifen.
Fazit
Im Test konnte die Appliance überzeugen. Hat man sich mit den Konzepten und Abläufen das
Gateways vertraut gemacht, geht die Arbeit reibungslos von der Hand. Verglichen mit den gängigen
VPN-Gateways, die lediglich einen gesicherten Kanal zum Unternehmensnetz garantieren, bieten die
Konfigurationsmöglichkeiten des IAG weitaus mehr an Feintuning.
Info: Wick Hill Tel.: 040/2373010 Web: www.wickhill.de
Da im Test verschiedene Szenarien evaluiert werden sollten, gestaltet sich der Testaufbau
entsprechend komplex. Verwendet wurden sechs Rechnersysteme mit den Betriebsystemen Windows Server
2003 und Windows XP. Den Mittelpunkt dabei nimmt die IAG selbst ein, im Kern ein Rechner mit
Windows Server 2003, dem ISA und dem IAG. Die Authentifizierung geschah durch das Active Directory
auf dem Domänen-Controller, der ebenfalls mit Windows Server 2003 bestückt war und auch DNS
bereitstellte. Als Verwaltungsgerät für den IAG kam ein ein weiterer Windows-Server-2003-Rechner
zum Zuge. Die Testgeräte, welche die Clients repräsentierten, waren mit Windows XP und Windows
Server 2003 bestückt. Der Exchange-Server 2003 lief in einer virtuellen Umgebung unter Virtual
Server 2003 R2.
Lesen Sie mehr zum Thema
