Microsoft na hraně (sítě): Forefront a ochrana rozhraní

Jsou produkty z jedné díly ISA Server 2006 a IAG 2007 konkurenční nebo se jen doplňují?

Nová produktová řada Forefront od Microsoftu slibuje komplexní ochranu celého informačního systému. Nemůže v ní proto chybět ochrana rozhraní, a to v podobě firewallu a vzdáleného přístupu.

Je opravdu firewall potřeba?

O potřebě či nepotřebě (resp. důležitosti či nedůležitosti) firewallu asi příliš nemá cenu se v současné době rozepisovat. Jde bez jakékoliv diskuse o jeden ze základních stavebních kamenů dobře zabezpečené sítě. I když na druhé straně: každá správně nastavená a navržená síť by měla být schopná bezpečně fungovat i bez firewallu. Jde o jeden z „bezpečnostních testů“ – představte si, jak by vaše síť vypadala, kdyby firewall zmizel. Pokud by se to bezpečnosti a provozu nikterak nedotklo, máte výtečnou několikastupňovou ochranu, kdy jedna komponenta jistí druhou proti selhání. Pokud je absence firewallu ale znát, pak pozor: mezi vámi a útočníkem je jen jedna jediná hráz.

Je tak vcelku pochopitelné, že součástí microsoftího portfolia Forefront je i Internet Security & Acceleration Server 2006 (alias ISA Server 2006), inspekční paketový a aplikační firewall plus nástroj pro vytváření virtuálních privátních sítí (VPN), který běží na platformě Windows 2000 nebo Windows Serveru 2003.

Jeho hlavním úkolem je zajištění bezpečného přístupu k aplikacím a datům odkudkoliv. Díky mobilním zařízením (notebooky, PDA, SmartPhones atd.) mají dnešní sítě úplně jinou podobu a úplně odlišné bezpečnostní nároky než tomu bylo ještě před několika lety.

Internet Security & Acceleration Server 2006

K základním posláním ISA Serveru 2006 patří také bezpečné publikování obsahu pro vzdálený přístup (podnikové aplikace přes internet). Tedy zpřístupnění Exchange, SharePoint a dalších webových aplikačních serverů odkudkoliv. Po předběžném ověření uživatelů zajišťuje stavovou kontrolu veškerých přenosů včetně šifrovaných na aplikační vrstvě.

Poskytováním automatizovaných publikačních nástrojů usnadňuje ISA Server 2006 zabezpečení podnikových aplikací, ke kterým je přistupováno přes internet.

Dále působí v oblasti propojení a zabezpečení poboček. Zde k jeho přednostem patří komprese http, ukládání obsahu včetně aktualizací softwaru do mezipaměti a vytváření virtuálních privátních sítí mezi jednotlivými lokalitami.

V neposlední řadě pak poskytuje ochranu před interními i externími útoky. Správu a ochranu sítí usnadňují hybridní architektura proxyfirewallu, důkladná kontrola obsahu, velmi podrobné zásady a rozsáhlé možnosti varování plus monitorování.

Vylepšení a novinek je v ISA Serveru 2006 celá řada (navazuje totiž na předchozí produkty). Namátkou jmenujme průvodce připojením pobočky přes VPN, který umožňuje automaticky konfigurovat spojení, takže toto je ustanoveno rychle a jednoduše. Firewall je zase navržený jako odolný proti zahlcení, a to např. řízením spotřeby paměti a kontroly. Ověřování Single-Sign-On pro změnu umožňuje uživatelům přístup k definovaným skupinám webů, aniž by se pokaždé museli znovu a znovu přihlašovat. Komprese protokolu http vede k odstraňování nadbytečných dat. A konečně: výkon aplikace roste i díky určování priorit paketů pomocí filtru Diffserv, což je nutná vlastnost třeba pro VoIP technologii, protože klasické firewally berou paket jako paket – kdežto IP telefonie vyžaduje přednostní právo, aby hlas nebyl trhaný.

Intelligent Application Gateway 2007

Druhou aplikací z řady Forefront, o které bychom se v souvislosti s ochranou rozhraní měli zmínit, je Intelligent Application Gateway 2007 (dále jen IAG). Jedná se o webový aplikační firewall pro jednodušší a bezpečný přístup k vnitrofiremním aplikacím pomocí technologií SSL (Secure Socket Layer) a VPN (Virtual Private Network). Jde o webovou bránu, která je bezagentová: připojení k ní se děje pomocí standardního internetového prohlížeče podporujícího protokol https.

Prostřednictvím tohoto rozhraní pak uživatel může odkudkoliv (jak z prostředí interní sítě, tak třeba z cest, domova či internetové kavárny) v souladu s bezpečnostní politikou z jednoho místa pohodlně a jednoduše přistupovat k jednotlivým aplikacím. Mezi nimi je například OWA (Outlook Web Access), MS Office SharePoint Server 2007, vzdálená plocha, FTP server (v pasivním módu), sdílené složky aj. Aby nedošlo k omylu: IAG 2007 nepodporuje pouze produkty z dílny Microsoftu, ale také aplikace třetích stran. S nimi komunikuje buď prostřednictvím http/https protokolů nebo http/https aplikační proxy.

Pro usnadnění práce obsahuje IAG 2007 širokou paletu „best practices“ a optimálních nastavení. A opět: nejen pro produkty z dílny Microsoftu (Exchange Server, SharePoint Server aj.), ale třeba i pro Lotus Notes, SAP, IBM Domino, Citrix. Šablony přitom nejsou dány dogmaticky, každou je možné upravovat dle požadavků bezpečnostní politiky. A drobnůstka na závěr: aplikace IAG 2007 je schopna akceptovat úpravy vzhledu a nastavení tak, aby se tyto parametry dostaly do souladu s požadavky firmy (třeba aby si uživatelé nemuseli zvykat na jedno prostředí v kanceláři a na jiné na cestách).

Oproti klasickému VPN spojení je v IAG 2007, viděno očima klienta, jedna podstatná výhoda. Není potřeba instalovat agentský software, certifikáty apod. Prostě nepotřebujete více než standardní www prohlížeč a přístup k internetu.

ISA Server 2006 nebo IAG 2007

Teď možná vyvstává logická otázka: nejsou ISA Server 2006 a IAG 2007 v podstatě konkurenční produkty? Neplní velmi podobné nebo dokonce stejné úkoly? Jistě, některé funkce a funkcionality mají stejné nebo velmi podobné, ale jejich koncepce je diametrálně odlišná. IAG 2007 provádí kontrolu odchozí komunikace (jako klasický firewall) či nepodporuje ani pravidla pro publikování obsahu. IAG 2007 je zkrátka navržený jako doplněk stávající firewallové infrastruktury pro usnadnění práce uživatelů i administrátorů. O tom, že jde o doplňující produkty, svědčí i skutečnost, že je možné je společně instalovat na jeden server.

Suma sumárum – ISA Server 2006 a IAG 2007 jsou produkty doplňující celé portfolio Forefront od Microsoftu. Jejich úkolem je chránit rozhraní a zajistit jednoduchý plus bezpečný přístup do (bezpečné) interní sítě z (nebezpečného) externího prostředí.

Témata článku: Microsoft, Internet, Firewall, Sharepoint

2 komentáře

Nejnovější komentáře

  • elh 13. 9. 2007 10:41:43
    JJ, Citrix je firma tak blízká Microsoftu, že jí familiárně v Officech...
  • xxx 13. 9. 2007 10:35:55
    Citrus bude asi Citrix, ze....
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 56

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59

Brněnské soudy daly stop Uberu. Je to dobře, nebo krok zpět?

Brněnské soudy daly stop Uberu. Je to dobře, nebo krok zpět?

** Před několika měsíci začal Uber nabízet své služby i v Brně ** Nyní ale narazil, soudům se to totiž nelíbí ** Má sdílená ekonomika dostat zelenou?

22.  4.  2017 | Jakub Čížek | 28


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5