Im Test: Microsoft ISA Server 2006
Verbesserte Webfunktionalität
Der Microsoft ISA Server 2006 ist bereits die dritte Version dieses Produkts. Er umfasst weiterhin eine Applikations-Firewall, die Proxy-Dienste und die Verwaltung der VPN-Verbindungen. Die Details seiner Neuerungen haben wir in einem LANline-Test untersucht.
Firewalls zählen zu den festen Eckpfeilern der IT-Sicherheit. Der Funktionsumfang dieser Systeme
variiert nur wenig, und gravierende Neuerungen bei den Kernfunkti-onen sind kaum mehr zu vermelden.
Stattdessen erweitern die Hersteller ihre Produkte in der Funktionsvielfalt. Dies gilt auch für
Microsoft, wo man mittlerweile den Internet Security and Acceleration Server (ISA) in der Version
2006 anbietet. Die Verbesserungen des Produkts laufen größtenteils darauf hinaus, das eigene
Serverangebot "Web-ready" zu machen.
Um sich ein Bild von den Neuerungen und der Weiterentwicklung zu verschaffen, war es im Rahmen
des Tests durchaus hilfreich, sich mit den Planungen und Konzepten von Microsoft auseinander zu
setzen. Einer der Vordenker in Sachen Sicherheit, Steve Riley, gab hierzu während der
Teched-Konferenz im Winter Auskunft. Nach seinen Vorstellungen wird sich die Architektur und
Nutzung der Netzwerke in den kommenden Jahren massiv verändern. Die heutige Architektur
unterscheidet bekanntlich meist nach dem internen Unternehmensnetz, dem LAN, dem
standortübergreifenden WAN und dem öffentlichen Internet und siedelt dazwischen die DMZ an. In
jedem dieser Netze und Netzbereiche gelten eigene Rechte. Dem Nutzer im LAN vertraut man, jenen die
aus dem WAN und Internet kommen hingegen nicht. Riley geht davon aus, dass sich die heute noch
starre Trennung zwischen den Sektoren in den kommenden Jahren zusehends auflöst. Firmenmitarbeiter
werden überall und jederzeit auf alle Dienst zugreifen wollen und müssen. Vorboten dieser Tendenz
sind heute bereits sichtbar. VPNs schaffen private Netze im öffentlichen Raum, SSL und IPSec
ermöglichen eine gesicherte Kommunikation, WAFS (Wide Area File Services) bringen LAN-Funktionen
ins WAN, Speichersysteme mit iSCSI trennen die Daten vom LAN, und Failover-Techniken über WAN lösen
den Applikationsdienst vom lokalen Server. All diese Techniken bleiben nicht ohne Auswirkungen auf
deren zentrale Schutzkomponenten und damit auf die Firewalls. Microsoft geht von einem prinzipiell
ununterbrochenen Zugriff auf die Dienste und Server eines Unternehmens aus. Dabei ist in erster
Linie an die Mail-Dienste mit dem Exchange-Server zu denken, an die Informationsdienste des
Sharepoint-Servers und an die Webdienste des Internet Information Servers. Um den Internetzugang
auf diese Serverdienste zu vereinfachen, stellt Microsoft nun beim ISA 2006 eine Reihe von
Assistenten bereit, die die Konfiguration übernehmen. Zwar war der Zugriff auch vorher möglich, nur
musste der Administrator deutlich mehr Detailarbeit leisten.
Ein weiterer Aspekt, der zum Tragen kommt, wenn sich die klare Trennung in internen und externen
Zugriff auflöst, ist jener, dass auch das interne Netz segmentiert und die Segmente gegeneinander
abgesichert werden müssen. Diese Segmentierung wird seit mehreren Jahren von allen
Sicherheitsanbietern unisono gefordert. Wenn es ein Angreifer nämlich schafft, eine singuläre
Firewall am Übergang von WAN ins LAN zu überwinden, befindet er sich im Unternehmensnetz und kann
dort ungehindert seine schädliche Arbeit verrichten. Die Firewall am Perimeter muss sich deshalb in
einen Verbund von mehreren Sicherheitssystemen verwandeln, die an den Übergängen der Netze
platziert werden.
Die Architektur des Systems
Der ISA Server 2006 unterscheidet deshalb zwischen dem Internet, einer DMZ und ein oder mehreren
internen Netzsegmenten. Darüber hinaus sieht er einen weiteren Bereich für die VPN-Clients vor. Die
eigentlichen Ausführungsinstanzen der Firewalls, die an den Übergängen der Netze platziert werden,
bezeichnet Microsoft als "ISA Server Services". Damit jedoch nicht jede dieser Firewalls separat
verwaltet werden muss, lässt sich die Konfiguration auf einem zentralen Speicher hinterlegen, dem
Configuration Storage Server. Die Verwaltungskonsole des ISA, ein MMC-Snap-in, kommuniziert
ausschließlich mit dem "Configuration Storage", der für die ISA Server Services bereit steht.
Für unterschiedliche Anforderungen bietet Microsoft, wie schon in der Vergangenheit, eigene
Editionen: die "Standard Edition", die "Workgroup Edition" und die "Enterprise Edition". Die
Unterschiede zwischen diesen Produktvarianten liegen in der Leistung und betreffen etwa die Anzahl
der unterstützten CPUs oder die Balancing-Funktionen. Microsoft kooperiert weiterhin mit
Drittanbietern, die den ISA Server zusammen mit vorbereiteter Hardware als Appliance anbieten.
Installation und Setup
Beim Setup gilt es, vier Installationsvarianten und die Komponenten des ISA zu unterscheiden:
Auswählen lasen sich die ISA Server Services, der Configuration Storage Server, beide zusammen oder
nur die Verwaltungssoftware zur Fernwartung. Für unseren LANline-Test installierten wir den ISA
Server mit allen Softwarekomponenten auf einem Rechner mit Windows Server 2003, SP1 und 1 GByte
RAM. Daneben wäre laut Microsoft auch der Einsatz auf einem Windows Server 2003 Release 2 möglich,
Windows Server 2000 wird nicht unterstützt. Es muss sich um ein 32-Bit-System handeln, 64-Bit-CPUs
werden noch nicht unterstützt. DesWeiteren gibt Microsoft an, dass mindestens eine
Pentium-III-kompatible CPU mit 733 MHz und 512 MByte RAM zur Verfügung stehen muss. Mehr ist wie
immer von Vorteil. Darüber hinaus muss der Rechner natürlich mit Netzwerkkarten ausgestattet sein.
Für die Separierung von zwei internen Netzen oder den Einsatz als Perimeter-Firewall sind zwei
Netzwerkkarten notwendig. Sollte zusätzlich noch eine DMZ zu verwalten sein, so muss dafür eine
dritte Netzwerkkarte eingebaut sein. Zum LANline-Testszenario gehörten außerdem ein separater
Windows Server 2003 mit aktiviertem IIS-Diensten sowie ein Windows XP-Client mit Internet Explorer.
Von diesem Client aus griffen wir über den ISA Server auf die Webseiten des IIS zu.
Da sich der ISA in seinen Firewall-Kernfunktionen mit Filterung sehr stark an der
Vorgängerversion orientiert, sollen diese hier nur kurz angesprochen werden. Der erste Schritt
einer ISA-Konfiguration liegt in der Auswahl der Netzwerktopologie. Sie beschreibt die Architektur
des abzusichernden Netzes und somit die Position des oder der ISA-Server Services. Der ISA ist vom
Konzept her so ausgelegt, dass er prinzipiell an jeder beliebigen Stelle des Netzes operieren kann:
an der Grenze LAN-WAN, zwischen den LAN-Subnetzen oder auch als DMZ-Firewall. Die Grundkonzepte der
Verwaltung unterscheiden nach wenigen Objekten, den Netzen zwischen denen kommuniziert wird, den
Benutzergruppen, die kommunizieren wollen, und nach den Firewall-Regeln, die die Kommunikation
steuern. Alle drei Verwaltungselemente werden prinzipiell unabhängig voneinander definiert und dann
in Relation zueinander gebracht. Dies erlaubt einen recht flexiblen Aufbau der Gesamtkonfiguration.
Die Firewall des ISA Servers arbeitet sowohl auf der Paketebene als auch auf Layer 7, der
Applikationsschicht. Assistenten steuern die Konfigurationsschritte. Daneben bietet der ISA Server
Hilfen und Handbücher sowie Links auf die Microsoft-Webseiten.
In Test legten wir besonderes Gewicht auch die neuen Funktionen. Dazu gehört unter anderem ein
Schutz vor Denial-of-Service-Attacken (Flood Mitigation/Flut-Abwehr). Hierzu erlaubt der ISA das
Festlegen von Maxima für die Kommunikation, darunter die maximale Anzahl von TCP-Connect-Anfragen
pro Minute und IP-Adresse, die Anzahl von gleichzeitigen Verbindungen pro IP-Adresse, die Anzahl
von http-Requests pro Minute und IP-Adresse sowie eine maximale Anzahl gleichzeitiger UDP-Sessions
pro IP-Adresse.
Das Prinzip all dieser Sicherheitseinstellungen basiert darauf, durch die Maximalwerte
programmgesteuerte Zugriffe von fremden Rechnern auszubremsen. Ist einer der Maximalwerte erreicht,
so unterbindet der ISA für eine ebenfalls einstellbare Zeit jeglichen Verkehr von diesem
Angriffsrechner. Neben den insgesamt sieben Parametern kann ferner der IP-Bereich angegeben werden,
für den diese gelten sollen. Die Angriffe lassen sich für eine spätere Auswertung
protokollieren.
Für unseren Test legten wir eine maximale Anzahl von 100 gleichzeitigen Verbindungen fest. Um
unsere Einstellung zu prüfen, griffen wir auf ein vorbereitetes VBS-Skript zurück, das in einer
Programmschleife wiederholte Zugriffe durchführt. Nach der Ausführung des Skriptes kann im
Monitoring-Bereich in der Registerkarte "Alerts" der Status verfolgt werden.
Eine weitere Funktion, die man mitunter bei Firewalls und so auch beim ISA findet, ist der
Lastausgleich. Wenn schon sämtlicher Datenverkehr ohnehin durch die Firewall gefiltert wird, so
kann diese auch zur Verteilung der Anfragen auf die Webserver eingesetzt werden. Da natürlich nur
dann verteilt werden kann, wenn mehrere gleiche Dienste vorhanden sind, muss eine Server-Farm
existieren. Außerdem wird ein "Web-Listener" benötigt. Er horcht im Netz nach den ankommenden
Client-Anfragen. IP-Adresse und Port sind einzustellen, im Test beließen wir es bei Port 80. Durch
SSO (Single-Sign-on) sind alle Webseiten, die über einen Web-Listener angesprochen werden, nach
einer gelungenen Anmeldung zugänglich. Die Benutzer-Authentifizierung kann entweder über http oder
HTML-Forms erfolgen.
Im nächsten Schritt ist die Serverfarm einzurichten. Durch regelmäßige http/HTTPS-Get-Requests,
Ping oder den Aufbau eine TCP-Verbindung kann der ISA die Erreichbarkeit der Farm überwachen. Im
nächsten Schritt muss die Farm veröffentlicht werden. Die Verteilung der ankommenden
Benutzeranfragen auf die Webserver-Farm kann anhand der IP-Adresse des Clients oder über das
Round-Robin-Verfahren erfolgen. Bei letzterem übernimmt der ISA Server das korrekte
Session-Handling mit Client-Affinität durch den Einsatz von Cookies. Gegenüber der Lastverteilung
nach IP-Adressen funktioniert dieses Verfahren auch, wenn in der Strecke zwischen Client und
Webserver eine Adressumsetzung (NAT) vorgenommen wird. Alternativ kann der ISA auch mit einem
vorgeschaltet Load Balancer operieren. Aus der Sicht des ISA Servers verhält sich die Farm dann wie
ein einzelner Webserver.
Im Test verwendeten wir das Session-Handling mit Client-Affinität. Die Verbindung zwischen dem
ISA Server und der Serverfarm kann ebenso wie jene zwischen dem ISA und den Clients mit SSL/HTTPS
oder ungesichert hergestellt werden. Wird SSL verwendet, so muss der Webserver beziehungsweise die
Farm ein gültiges Zertifikat besitzen.
Der Web Listener wird per Konfiguration angewiesen, auf den veröffentlichten Namen des
Webservers oder der Farm zu reagieren. Diese veröffentlichte Webadresse muss allerdings mit jener
übereinstimmen, die intern vergeben worden ist. Um die Umsetzung der Adressen (Link Translation)
kümmert sich der ISA Server. Man kann ihn so einstellen, dass er einen Austausch der Weblinks
vornimmt. Dies hilft beispielsweise, um Links auf interne Server, auf die der Internetbenutzer
ansonsten keinen Zugriff hätte, umzustellen. Dies verbirgt auch die tatsächlichen Servernamen vor
dem Webbenutzer. Gleichzeitig erlaubt die Link-Translation eine Änderung der Webserverstruktur,
ohne dass an der Verlinkung Änderungen vorgenommen werden müssen.
Die Prüfung der Verbindungen zwischen dem ISA Server und der Serverfarm mit ihren IP-Adressen
lässt sich in der Rubrik "Monitoring" innerhalb der Registerkarte "Connectivity Verifiers"
vornehmen. Nach außen sind hingegen nur eine Adresse und der veröffentlichte Name sichtbar.
Der Überwachung der ISA Server Services dient ein zentrales Dashboard. Es erlaubt die Kontrolle
von Benutzer-Sessions, Diensten und allgemeiner Systemauslastung. Im Fehlerfall oder bei Engpässen
werden Warnungen und Alarme ausgegeben. Daneben liefert Microsoft aber auch ein Management-Pack für
den Operations Manager (MOM). Dieser ermöglicht eine zentralisierte Überwachung der gesamten
ISA-Server-Infrastruktur.
Fazit
Im Test lief das System ohne Probleme. Microsoft hat beim ISA 2006 vor allem Detailarbeit
geleistet. Dies betrifft die Veröffentlichung der eigenen Serverdienste wie etwa Exchange-,
Sharepoint- oder Internet Information Server. Daneben hat der Hersteller die Anbindung von
Zweigstellen optimiert. Eine Reihe von Assistenten vereinfacht die Konfiguration. Wem dies immer
noch zu aufwändig ist, kann Appliances von Microsoft-Partnern einsetzen. Die Vorteile des ISA
Servers, vor allem im Bereich der einfachen Verwaltung, kommen vor allem im Kontext von
Microsoft-Strukturen zum Zuge.
Lesen Sie mehr zum Thema
