reklama

Microsoft na hraně (sítě): Forefront a ochrana rozhraní

Jsou produkty z jedné díly ISA Server 2006 a IAG 2007 konkurenční nebo se jen doplňují?

Nová produktová řada Forefront od Microsoftu slibuje komplexní ochranu celého informačního systému. Nemůže v ní proto chybět ochrana rozhraní, a to v podobě firewallu a vzdáleného přístupu.

Je opravdu firewall potřeba?

O potřebě či nepotřebě (resp. důležitosti či nedůležitosti) firewallu asi příliš nemá cenu se v současné době rozepisovat. Jde bez jakékoliv diskuse o jeden ze základních stavebních kamenů dobře zabezpečené sítě. I když na druhé straně: každá správně nastavená a navržená síť by měla být schopná bezpečně fungovat i bez firewallu. Jde o jeden z „bezpečnostních testů“ – představte si, jak by vaše síť vypadala, kdyby firewall zmizel. Pokud by se to bezpečnosti a provozu nikterak nedotklo, máte výtečnou několikastupňovou ochranu, kdy jedna komponenta jistí druhou proti selhání. Pokud je absence firewallu ale znát, pak pozor: mezi vámi a útočníkem je jen jedna jediná hráz.

Je tak vcelku pochopitelné, že součástí microsoftího portfolia Forefront je i Internet Security & Acceleration Server 2006 (alias ISA Server 2006), inspekční paketový a aplikační firewall plus nástroj pro vytváření virtuálních privátních sítí (VPN), který běží na platformě Windows 2000 nebo Windows Serveru 2003.

Jeho hlavním úkolem je zajištění bezpečného přístupu k aplikacím a datům odkudkoliv. Díky mobilním zařízením (notebooky, PDA, SmartPhones atd.) mají dnešní sítě úplně jinou podobu a úplně odlišné bezpečnostní nároky než tomu bylo ještě před několika lety.

Internet Security & Acceleration Server 2006

K základním posláním ISA Serveru 2006 patří také bezpečné publikování obsahu pro vzdálený přístup (podnikové aplikace přes internet). Tedy zpřístupnění Exchange, SharePoint a dalších webových aplikačních serverů odkudkoliv. Po předběžném ověření uživatelů zajišťuje stavovou kontrolu veškerých přenosů včetně šifrovaných na aplikační vrstvě.

Poskytováním automatizovaných publikačních nástrojů usnadňuje ISA Server 2006 zabezpečení podnikových aplikací, ke kterým je přistupováno přes internet.

Dále působí v oblasti propojení a zabezpečení poboček. Zde k jeho přednostem patří komprese http, ukládání obsahu včetně aktualizací softwaru do mezipaměti a vytváření virtuálních privátních sítí mezi jednotlivými lokalitami.

V neposlední řadě pak poskytuje ochranu před interními i externími útoky. Správu a ochranu sítí usnadňují hybridní architektura proxyfirewallu, důkladná kontrola obsahu, velmi podrobné zásady a rozsáhlé možnosti varování plus monitorování.

Vylepšení a novinek je v ISA Serveru 2006 celá řada (navazuje totiž na předchozí produkty). Namátkou jmenujme průvodce připojením pobočky přes VPN, který umožňuje automaticky konfigurovat spojení, takže toto je ustanoveno rychle a jednoduše. Firewall je zase navržený jako odolný proti zahlcení, a to např. řízením spotřeby paměti a kontroly. Ověřování Single-Sign-On pro změnu umožňuje uživatelům přístup k definovaným skupinám webů, aniž by se pokaždé museli znovu a znovu přihlašovat. Komprese protokolu http vede k odstraňování nadbytečných dat. A konečně: výkon aplikace roste i díky určování priorit paketů pomocí filtru Diffserv, což je nutná vlastnost třeba pro VoIP technologii, protože klasické firewally berou paket jako paket – kdežto IP telefonie vyžaduje přednostní právo, aby hlas nebyl trhaný.

Intelligent Application Gateway 2007

Druhou aplikací z řady Forefront, o které bychom se v souvislosti s ochranou rozhraní měli zmínit, je Intelligent Application Gateway 2007 (dále jen IAG). Jedná se o webový aplikační firewall pro jednodušší a bezpečný přístup k vnitrofiremním aplikacím pomocí technologií SSL (Secure Socket Layer) a VPN (Virtual Private Network). Jde o webovou bránu, která je bezagentová: připojení k ní se děje pomocí standardního internetového prohlížeče podporujícího protokol https.

Prostřednictvím tohoto rozhraní pak uživatel může odkudkoliv (jak z prostředí interní sítě, tak třeba z cest, domova či internetové kavárny) v souladu s bezpečnostní politikou z jednoho místa pohodlně a jednoduše přistupovat k jednotlivým aplikacím. Mezi nimi je například OWA (Outlook Web Access), MS Office SharePoint Server 2007, vzdálená plocha, FTP server (v pasivním módu), sdílené složky aj. Aby nedošlo k omylu: IAG 2007 nepodporuje pouze produkty z dílny Microsoftu, ale také aplikace třetích stran. S nimi komunikuje buď prostřednictvím http/https protokolů nebo http/https aplikační proxy.

Pro usnadnění práce obsahuje IAG 2007 širokou paletu „best practices“ a optimálních nastavení. A opět: nejen pro produkty z dílny Microsoftu (Exchange Server, SharePoint Server aj.), ale třeba i pro Lotus Notes, SAP, IBM Domino, Citrix. Šablony přitom nejsou dány dogmaticky, každou je možné upravovat dle požadavků bezpečnostní politiky. A drobnůstka na závěr: aplikace IAG 2007 je schopna akceptovat úpravy vzhledu a nastavení tak, aby se tyto parametry dostaly do souladu s požadavky firmy (třeba aby si uživatelé nemuseli zvykat na jedno prostředí v kanceláři a na jiné na cestách).

Oproti klasickému VPN spojení je v IAG 2007, viděno očima klienta, jedna podstatná výhoda. Není potřeba instalovat agentský software, certifikáty apod. Prostě nepotřebujete více než standardní www prohlížeč a přístup k internetu.

ISA Server 2006 nebo IAG 2007

Teď možná vyvstává logická otázka: nejsou ISA Server 2006 a IAG 2007 v podstatě konkurenční produkty? Neplní velmi podobné nebo dokonce stejné úkoly? Jistě, některé funkce a funkcionality mají stejné nebo velmi podobné, ale jejich koncepce je diametrálně odlišná. IAG 2007 provádí kontrolu odchozí komunikace (jako klasický firewall) či nepodporuje ani pravidla pro publikování obsahu. IAG 2007 je zkrátka navržený jako doplněk stávající firewallové infrastruktury pro usnadnění práce uživatelů i administrátorů. O tom, že jde o doplňující produkty, svědčí i skutečnost, že je možné je společně instalovat na jeden server.

Suma sumárum – ISA Server 2006 a IAG 2007 jsou produkty doplňující celé portfolio Forefront od Microsoftu. Jejich úkolem je chránit rozhraní a zajistit jednoduchý plus bezpečný přístup do (bezpečné) interní sítě z (nebezpečného) externího prostředí.

Témata článku: Microsoft, Internet, Firewall, Sharepoint

2 komentáře

Nejnovější komentáře

  • elh 13. 9. 2007 10:41:43
    JJ, Citrix je firma tak blízká Microsoftu, že jí familiárně v Officech...
  • xxx 13. 9. 2007 10:35:55
    Citrus bude asi Citrix, ze....
reklama
Určitě si přečtěte

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

** Dnes žádnou elektroniku programovat nebudeme ** Štěnice totiž funguje sama o sobě ** Stačí připojit baterii a naladit frekvenci

22.  1.  2017 | Jakub Čížek | 32

Takto si špičkoví grafici představují nový Facebook. S čistým vzhledem a bez reklam

Takto si špičkoví grafici představují nový Facebook. S čistým vzhledem a bez reklam

** Design Facebooku se delší dobu nemění a pro mnohé je nudným ** Grafici zkouší navrhovat nové koncepty toho, jak by mohla síť vypadat ** Hlasujte pro nejzdařilejší návrh

22.  1.  2017 | Stanislav Janů | 66

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

** Strojové učení lze skvěle použít pro vylepšení modelů pro předpověď srdečních komplikací ** Nová technologie umožňuje přesněji určit rizikové pacienty ** Dřívější diagnostika může díky včasně léčbě do budoucna zachránit životy

21.  1.  2017 | Karel Javůrek | 7

8 produktů, o kterých byste neřekli, že nesou značku Apple

8 produktů, o kterých byste neřekli, že nesou značku Apple

** Věděli jste, že Apple vyvinul celkem 45 modelů tiskáren? ** ** Monitor na výšku, plotter nebo herní konzole - to vše měl Apple ve své nabídce ** Většinu z těchto produktů pohřbil Steve Jobs

19.  1.  2017 | Stanislav Janů | 43


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama