Microsoft na hraně (sítě): Forefront a ochrana rozhraní

Jsou produkty z jedné díly ISA Server 2006 a IAG 2007 konkurenční nebo se jen doplňují?
Microsoft na hraně (sítě): Forefront a ochrana rozhraní

Nová produktová řada Forefront od Microsoftu slibuje komplexní ochranu celého informačního systému. Nemůže v ní proto chybět ochrana rozhraní, a to v podobě firewallu a vzdáleného přístupu.

Je opravdu firewall potřeba?

O potřebě či nepotřebě (resp. důležitosti či nedůležitosti) firewallu asi příliš nemá cenu se v současné době rozepisovat. Jde bez jakékoliv diskuse o jeden ze základních stavebních kamenů dobře zabezpečené sítě. I když na druhé straně: každá správně nastavená a navržená síť by měla být schopná bezpečně fungovat i bez firewallu. Jde o jeden z „bezpečnostních testů“ – představte si, jak by vaše síť vypadala, kdyby firewall zmizel. Pokud by se to bezpečnosti a provozu nikterak nedotklo, máte výtečnou několikastupňovou ochranu, kdy jedna komponenta jistí druhou proti selhání. Pokud je absence firewallu ale znát, pak pozor: mezi vámi a útočníkem je jen jedna jediná hráz.

Je tak vcelku pochopitelné, že součástí microsoftího portfolia Forefront je i Internet Security & Acceleration Server 2006 (alias ISA Server 2006), inspekční paketový a aplikační firewall plus nástroj pro vytváření virtuálních privátních sítí (VPN), který běží na platformě Windows 2000 nebo Windows Serveru 2003.

Jeho hlavním úkolem je zajištění bezpečného přístupu k aplikacím a datům odkudkoliv. Díky mobilním zařízením (notebooky, PDA, SmartPhones atd.) mají dnešní sítě úplně jinou podobu a úplně odlišné bezpečnostní nároky než tomu bylo ještě před několika lety.

Internet Security & Acceleration Server 2006

K základním posláním ISA Serveru 2006 patří také bezpečné publikování obsahu pro vzdálený přístup (podnikové aplikace přes internet). Tedy zpřístupnění Exchange, SharePoint a dalších webových aplikačních serverů odkudkoliv. Po předběžném ověření uživatelů zajišťuje stavovou kontrolu veškerých přenosů včetně šifrovaných na aplikační vrstvě.

Poskytováním automatizovaných publikačních nástrojů usnadňuje ISA Server 2006 zabezpečení podnikových aplikací, ke kterým je přistupováno přes internet.

Dále působí v oblasti propojení a zabezpečení poboček. Zde k jeho přednostem patří komprese http, ukládání obsahu včetně aktualizací softwaru do mezipaměti a vytváření virtuálních privátních sítí mezi jednotlivými lokalitami.

V neposlední řadě pak poskytuje ochranu před interními i externími útoky. Správu a ochranu sítí usnadňují hybridní architektura proxyfirewallu, důkladná kontrola obsahu, velmi podrobné zásady a rozsáhlé možnosti varování plus monitorování.

Vylepšení a novinek je v ISA Serveru 2006 celá řada (navazuje totiž na předchozí produkty). Namátkou jmenujme průvodce připojením pobočky přes VPN, který umožňuje automaticky konfigurovat spojení, takže toto je ustanoveno rychle a jednoduše. Firewall je zase navržený jako odolný proti zahlcení, a to např. řízením spotřeby paměti a kontroly. Ověřování Single-Sign-On pro změnu umožňuje uživatelům přístup k definovaným skupinám webů, aniž by se pokaždé museli znovu a znovu přihlašovat. Komprese protokolu http vede k odstraňování nadbytečných dat. A konečně: výkon aplikace roste i díky určování priorit paketů pomocí filtru Diffserv, což je nutná vlastnost třeba pro VoIP technologii, protože klasické firewally berou paket jako paket – kdežto IP telefonie vyžaduje přednostní právo, aby hlas nebyl trhaný.

Intelligent Application Gateway 2007

Druhou aplikací z řady Forefront, o které bychom se v souvislosti s ochranou rozhraní měli zmínit, je Intelligent Application Gateway 2007 (dále jen IAG). Jedná se o webový aplikační firewall pro jednodušší a bezpečný přístup k vnitrofiremním aplikacím pomocí technologií SSL (Secure Socket Layer) a VPN (Virtual Private Network). Jde o webovou bránu, která je bezagentová: připojení k ní se děje pomocí standardního internetového prohlížeče podporujícího protokol https.

Prostřednictvím tohoto rozhraní pak uživatel může odkudkoliv (jak z prostředí interní sítě, tak třeba z cest, domova či internetové kavárny) v souladu s bezpečnostní politikou z jednoho místa pohodlně a jednoduše přistupovat k jednotlivým aplikacím. Mezi nimi je například OWA (Outlook Web Access), MS Office SharePoint Server 2007, vzdálená plocha, FTP server (v pasivním módu), sdílené složky aj. Aby nedošlo k omylu: IAG 2007 nepodporuje pouze produkty z dílny Microsoftu, ale také aplikace třetích stran. S nimi komunikuje buď prostřednictvím http/https protokolů nebo http/https aplikační proxy.

Pro usnadnění práce obsahuje IAG 2007 širokou paletu „best practices“ a optimálních nastavení. A opět: nejen pro produkty z dílny Microsoftu (Exchange Server, SharePoint Server aj.), ale třeba i pro Lotus Notes, SAP, IBM Domino, Citrix. Šablony přitom nejsou dány dogmaticky, každou je možné upravovat dle požadavků bezpečnostní politiky. A drobnůstka na závěr: aplikace IAG 2007 je schopna akceptovat úpravy vzhledu a nastavení tak, aby se tyto parametry dostaly do souladu s požadavky firmy (třeba aby si uživatelé nemuseli zvykat na jedno prostředí v kanceláři a na jiné na cestách).

Oproti klasickému VPN spojení je v IAG 2007, viděno očima klienta, jedna podstatná výhoda. Není potřeba instalovat agentský software, certifikáty apod. Prostě nepotřebujete více než standardní www prohlížeč a přístup k internetu.

ISA Server 2006 nebo IAG 2007

Teď možná vyvstává logická otázka: nejsou ISA Server 2006 a IAG 2007 v podstatě konkurenční produkty? Neplní velmi podobné nebo dokonce stejné úkoly? Jistě, některé funkce a funkcionality mají stejné nebo velmi podobné, ale jejich koncepce je diametrálně odlišná. IAG 2007 provádí kontrolu odchozí komunikace (jako klasický firewall) či nepodporuje ani pravidla pro publikování obsahu. IAG 2007 je zkrátka navržený jako doplněk stávající firewallové infrastruktury pro usnadnění práce uživatelů i administrátorů. O tom, že jde o doplňující produkty, svědčí i skutečnost, že je možné je společně instalovat na jeden server.

Suma sumárum – ISA Server 2006 a IAG 2007 jsou produkty doplňující celé portfolio Forefront od Microsoftu. Jejich úkolem je chránit rozhraní a zajistit jednoduchý plus bezpečný přístup do (bezpečné) interní sítě z (nebezpečného) externího prostředí.

Témata článku: Microsoft, Internet, Podobná funkcionalita, Sharepoint, Firewall, Předchozí produkt, Klasický internet, Bezpečná aplikace, Podstatná výhoda, Podobná cesta, Produktová řada

Určitě si přečtěte

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

17.  10.  2017 | Jakub Čížek | 182

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

16.  10.  2017 | Stanislav Janů | 155

Nejlepší optické iluze: Z toho vám půjde hlava kolem

Nejlepší optické iluze: Z toho vám půjde hlava kolem

** Mozek se nechá snadno ošálit, a to mnoha způsoby ** Podívejte se na několik nejlepších optických iluzí ** Iluze dokazují, že vnímání reality může být značně zkreslené

16.  10.  2017 | Vojtěch Malý

Tesla nestíhá, přesto propustila stovky zaměstnanců

Tesla nestíhá, přesto propustila stovky zaměstnanců

15.  10.  2017 | Markéta Mikešová | 30


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji