یکی از سناریو های اولیه در به کارگیری سرور ISA، استفاده آن در محل برقراری تماس شبکه داخلی با محیط بیرون مانند اینترنت می باشد . این نوع Firewall به نام Internet-Edge Firewall نیاز نامیده می شود . در این شرایط ، سرور ISA به عنوان یک Gateway امن براین کاربران داخلی عمل کرده و مسئولیت جلوگیری از ورود ترافیک خطر ناک به محیط داخلی شبکه را نیز داراست .
در سناریو Internet-Edge firewall ، سرور ISA به عنوان تنها مسئول امنیت شبکه بوده و در مرز بین محیط داخلی شبکه و محیط بیرون یا اینترنت قرار داده می شود . در این شرایط سرور ISA دارای یک NIC متصل به اینترنت و یک NIC متصل به شبکه داخلی خواهد بود . در برخی از مواقع احتمال دارد که سرور ISA یک NIC دیگر که متصل به شبکه DMZ می باشد را نیز دارا باشد سرور ISA در این سناریو کارهای زیر را انجام خواهد داد .
-
سرور ISA بجز ترافیکی که مجاز شمرده شده است ، بقیه ترافیک ورودی از محیط اینترنت به شکبه داخلی را مسدود خواهد نمود . به دلیل اینکه سرور ISA به عنوان تنها مسئول برقراری امنیت شبکه می باشد ، تمامی خصوصیات موجود مانند فیلتراسیون در سطح لایه های مختلف ، Intrusion detection و application filter مورد استفاده قرار خواهد گرفت . سیستم عامل نصب شده در روی ISA Server باید طوری پیکربندی شده باشد که در مقابل حمله های مربوطه آسیب پذیری نداشته باشد .
-
ISA Server فقط سرورهای داخلی مشخصی را در دسترس کاربران خارجی قرار می دهد . این عمل با استفاده از Server publishing Rules و یا Firewall Access rules انجام خواهد گرفت . تمامی ترافیک های ورودی به محیط داخلی بلوکه خواهند گشت مگر ترافیکی که به وسیله Rule ها اجازه ورود یافته اند.
-
در صورتی که از ISA Server به عنوان یک VPN Gateway استفاده می شود ، تمامی ترافیک کاربران VPN از طریق ISA Server به محیط داخلی شبکه راه خواهد یافت . در این صورت تمامی Access Rule ها باید برای امن کردن ترافیک کاربران VPN مورد استفاده قار گیرند . حتی می توان از خصوصیت Quarantine VPN نیز استفاده نمود.
-
به دلیل اینکه تمامی درخواست های کاربران برای دسترسی به منابع موجود در اینترنت از طریق ISA Server می گذرد، می توان Policyهای امنیتی شبکه ماند کاربران مجاز ، نرم افزارها و Protocol های مجاز وب سایتهای مجاز را مشخص کرد .
+ نوشته شده در سه شنبه چهاردهم خرداد 1387ساعت 17:7 توسط مهدی عالیشوندی
|
سرور ISA را می توان برای کنترل دسترسی کاربران اینترنت به منابع داخلی و نیز محدود کردن دسترسی کاربران داخلی به منابع خارجی مورد استفاده قرار داد . پیکربندی دقیق سرور ISA بستگی مستقیمی به سیاست های امنیتی شبکه و نیازهای موجود آن دارد . در این مبحث انواع متدهای به کارگیری سرور ISA در یک شبکه را مورد بخث قرار خواهیم داد . برای مثال می توان سرور ISA را به عنوان تنها فایروال در محل اتصال شبکه داخلی به محیط اینترنت و یا به عنوان Firewall دوم در شبکه هایی که حاوی چندین سیستم Firewall می باشند . مودر استفاده قرار داد . و نیز موادری مانند استفاده سرور ISA در شبکه های بزرگ که دااری شعبات مختلف می باشند و یا به کارگیری آن در شبکه های کوچک که فقط نیاز به یک سرور ISA دارند نیز مورد بحث واقع خواهند گرفت.
+ نوشته شده در سه شنبه چهاردهم خرداد 1387ساعت 17:1 توسط مهدی عالیشوندی
|
ویندوز سرور ۲۰۰۰ و ۲۰۰۳ به صورت پیش فرض از خصوصیت NLB یا Network Load Balancing پشتیبانی می کنند . با استفاده از این ویژگی می توان در خواست های کاربران برای یک سرویس را بین چندین کامپیوتر حاوی آن سرویس پخش نمود و بدین ترتیب باعث افزایش کارایی و سرعت عملکرد آن سرویس گشت . با استفاده از خصوصیت NLB می توان چندین کامپیوتر را بصورت یک گروه درآورد که از یک آدرس IP استفاده می نمایند . به این عمل Clustering می گویند . یک Cluster گروهی از کامپیوترهای مستقل از هم را می گویند که برای انجام یک یا چندین سرویس با هم همکاری داشته و از دید کاربران به عنوان یک کامپیوتر واحد به نظر می رسند . وقتی در خواست های کاربران به یک کلاستر NLB می رسد ، ترافیک رسیده بین سرورهای موجود در آن کلاستر پخش خواهد گشت . حتی در صورتی که یکی از سرورهای کلاستر در دسترس نباشند، ترافیک کلاینت ها به کامپیوترهای دیگر موجود در ان کلاستر هدایت خواهد شد.
در نسخه استاندارد ISA ویژگی NLB به صورت پیش فرض وجود ندارد و برای این منظور باید آن را به صورت دستی تنظیم نمود . اما نسخه Enterprise ویژگی NLB را بصورت اتوماتیک مورد استفاده قرار می دهد و می توان آن را از طریق کنسول مدیریتی سرور ISA مدیریت نمود. همچنین سرور ISA را می توان برای مشاهده صحت عملکرد NLB بکار برد و در هنگام بروز ایرادی در یکی از کامپیوترهای کلاستر، می توان وظایف سرور معیوب را بر روی کامپیوتر دیگر آن کلاستر انتقال داد.
+ نوشته شده در یکشنبه پانزدهم اردیبهشت 1387ساعت 20:43 توسط مهدی عالیشوندی
|
با استفاده از نسخه Enterprise می توان چندین سرور ISA را به صورت همزمان به عنوان مسئول عمل Web Caching مورد استفاده قرار داد . بدین معنی که تمامی سرورهای موجود در یک Array به عنوان یک کامپیوتر واحد در نظر گرفته شده و فضای دیسک سخت آنها را بصورت مشترک مسئول عمل Web Caching خواهند گشت .
پروتکل CARP برای همین منظور مورد استفاده قرار می گیرد . هنگامی که کاربری یک درخواست را برای یک صفحه وب ایجاد و ارسال نمود ، پروتکل CARP یکی از سرورهای ISA موجود در آن Array را به عنوان مسئول عمل دریافت درخواست کاربر و انجام Caching تعیین می کند. وقتی کاربری دیگر اقدام به درخواست همان صفحه وب نمود ، پروتکل CARP بار دیگر اقدام به تعیین این که کدام یک از اقدام به تعیین این که کدام یک از سرورهای ISA موجود در آن Array حاوی اطلاعات درخواستی می باشند نموده و درخواست کاربر را برای ان سرور ISA ارسال خواهد نمود . همانطوری که می بینید با استفاده از خصوصیت CARP می توان عمل Caching را با انعطاف بسیار و عملا در هر سایزی مورد استفاده قرار داد.
+ نوشته شده در یکشنبه پانزدهم اردیبهشت 1387ساعت 20:25 توسط مهدی عالیشوندی
|
یکی از تفاوتهای عمده دو نسخه ISA در چگونگی نگهداری اطلاعات مربوط به پیکربندی سرور ISA است . نسخه استاندارد ، اطلاعات مربوط به پیکربندی خود را در روی Registryکامپیوتر محلی ذخیره می نماید . در این شرایط اگر نیاز به استفاده از سرور ISA دیگری با همان پیکربندی یکسان داشته باشیم ، باید پیکربندی سرور اول را Export کرده و فایل بدست آمده را در روی سرور دوم Improt نماییم . در صورتی که نیاز به تغییر پیکربندی حاضر احساس گردید، انجام تغییرات در روی هر دو سرور به صورت جداگانه انجام خواهد گرفت.
اما نسخه Enterprise اطلاعات مربوط به پیکربندی خود را نه در روی Registry کامپیوتر محلی ، بلکه در محل دیگری ذخیره می نماید . در هنگام نصب نسخه Enterprise باید یک یا چند سرور را نیز برای نگهداری اطلاعات مربوط به پیکربندی سرورهای ISA تعیین نماییم. این سرورها به نام Configuration Storage Servers نامیده شده و از Active Directory Application Mode - ADAM برای نگهداری اطلاعات مربوط به تمامی سرورهای ISA بهره می گیرند. به دلیل این که ADAM می تواند در روی چندین سرور نصب شده و اطلاعات نیز می توانند بین این سرورها تکثیر گردد ، بنابراین می توان چندین عدد Configuration Storage Server را به صورت همزمان در شبکه در اختیار داشت . همچنین می توان ADAM را در روی خود سرور ISA نیز نصبنمود با استفاده از ADAM می توان از Enterprise policy ها برای پیکربندی تمامی سرورهای ISA استفاده نمود. همچنین می توان از Array ها و نیز Array Policy نیز بهره گرفت . مجموعه ای از سرورهای ISA که دارای پیکربندی های یکسانی می باشند، یعنی Policy های یکسانی روی آنها اعمال می گردد، به عنوان یک Array نامیده می شوند .
بنابراین قبل از نصب نسخه Enterprise باید موارد زیر نصب و آماده شده باشند:
1- تعیین سرورهای نگهدارنده اطلاعات مربوط به پیکربندی یا Configuration Storage Servers
2- ایجاد Enterprise/Array Policy
بعد از تکمیل موارد بالا می توان اقدام به نصب سرور ISA کرده و سپس آنها را عضو یک گروه یا Array خاصی نمود . بعد از ایجاد Enterprise/Array Policy ها و منتصب نمودن آنها به هر یک از گروها یا Array ها ، هر کدام از سرورهای ISA که عضو آن Array گردد . تنظیمات تعیین شده ان Policy را به صورت اتوماتیک خواهد پذیرفت. براین تغییر پیکربندی های مربوط به سرورهای ISA فقط کافیست تنظیمات روی سرور حاوی اطلاعات پیکربندی یا Configuration Storage Server را تغییر داد. سرورهای ISA به صورت متناوب با سرورهای Configuration Storage در تماس می باشند و به محض یافتن تغییری در تنظیمات اقدام با دانلود و اعمال آن تغییرات در روی Registry خود می نمایند.
+ نوشته شده در یکشنبه پانزدهم اردیبهشت 1387ساعت 12:17 توسط مهدی عالیشوندی
|
ISA Server 2006 در دو نسخه مختلف ارائه گشته است :
1-نسخه استاندارد
2-نسخه Enterprise
در حالت کلی عملکرد این دو نسخه موجود شبیه به هم می باشد . اما نسخه Enterprise دارای امکانات بیشتری نسبت به نسخه استاندارد بوده که عملیات مدیریت ISA Server را مخصوصا در مواقعی که از چند ISA Server با پیکربندی یکسان استفاده می کنیم، آسان تر می نماید. برای نمونه ، با استفاده از نسخه Enterprise می توان خصوصیت NLB را نیز در شبکه در اختیار داشت . ویژگی NLB باعث می شود که ترافیک رسیده به مجموعه ای از ISA Server بین آن ها پخش گردد.
استفاده از نسخه استاندارد ISA Server در شرایطی که از یک ISA Server استفاده کرده و یا مواقعی که ISA Server را به عنوان Proxy Server و یا Firewall Server مورد استفاده قرار می دهیم و یا در هر یک از مرکز (اداره اصلی و شعبات مختلف آن ) فقط از یک ISA Server استفاده می نماییم ، نسخه استاندارد توصیه می شود. اما در شرایطی که برای هر یک از نقش های موجود از چندین ISA Server بهره گرفته خواهد شد، استفاده از نسخه Enterprise باید مدنظر قرار داشته باشد. مثلا اگر شما مسئول شبکه ای باشید که حاوی چند ISA Server در اداره اصلی بوده و از آنها به عنوان Proxy Server و یا Caching Server می گردد، مورد استفاده قرار دادن نسخه Enterprise می تواند مدیریت سرورهای موجود را بهبود بخشد.
هر دو نسخه موجود ISA دارای عملکرد کلی یکسان می باشند. مهمترین وه تمایز آنها در اینجا است که نسخه Enterprise دارای امکانات بیشتری در مدیریت همزمان و نیز آسان تر سرورهای ISA می باشد . نسخه Enterprise از ویژگی های زیر بهره می برد :
1- نگهداری متمرکز اطلاعات مربوط به پیکربندی سرورهای ISA
2- پشتیبانی از پروتکل CARP
3-پشتیبانی از پروتکل NLB
+ نوشته شده در یکشنبه پانزدهم اردیبهشت 1387ساعت 11:33 توسط مهدی عالیشوندی
|
بعضی از سازمانها به امنیت اضافی برای وب سایت ها یشان نیاز دارند . این سایت ها ممکن است شامل داده های محرمانه سازمان باشند که این داده ها می توانند برای کاربران مشخصی قابل دسترس باشند، یا آنها ممکن است یک سری داده های محرمانه را از کاربران اینترنت جمع آوری کنند. که شامل اطلاعات شخصی و کارتهای اعتباری آنها می باشد . و ممکن است این داده ها زمانی که در عرض اینترنت هستند نیاز به رمزگذاری داشته باشند. شما می توانید کمک کنید در جهت حفاظت از قبیل Web Server ها از حمله های کاربران روی اینترنت با استفاده از ISa Server به عنوان یک Firewall ، و با استفاده از Web Publishing rule ها در جهت Enable کردن دسترسی به سایت. برای رمزگذاری ترافیک بین شبکه داخلی و Internet Client ها ، شما نیاز دارید تا پیکربندی کنید یک Secure web publishing rule .
یک Web publishing rule یک web publishing rule محبوب است که استفاده می کند از SSL (Secure Sockets Layer بر روی پورت 443 برای رمز گذاری تمامی ترافیکی که عبور می کند از شبکه داخلی به سمت Internet Client ها . Isa Server چندین Option برای استفاده SSL مهیا می کند . برای مثال ، شما می توانید پیکربندی کنید ISa Server را برای رمزگذاری کردن تمامی ترافیک بین ISa Server و Internet Clientها ، اما ترافیک بر روی شبکه داخلی رمزگذاری نباشد. متناوبا ، شما می توانید فقط ترافیک بر روی شبکه داخلی را رمز گذاری کنید. شما همچنین می توانید ISa Server را در جهت رمزگذاری کردن ترافیک بر روی هم شبکه داخلی و هم از اینترنت پیکربندی کنید. شما می توانید پیکربندی کنید ISa Server را برای بکارگیری Application filtering بر روی Packet های رمزگذاری شده ، با این پیکربندی ، ISA Server بسته ها را کشف رمز خواهد کرد، و سپس آنها را صافی کرده و بعد دوباره بسته ها را رمزگذاری می کند.
یکی دیگر از قسمت های مهم از Enable کردن ،دسترسی امن به وب سایت است برای اطمینان از آن که فقط اشخاص معتبر اجازه دسترسی با سایت را دارند . هم Web publishing rule و هم Secure Web Publishing rule می توانند برای انجام این کار پیکربندی شده باشند. Isa server پشتیبانی می کند از چندین روش برای اعتبار سنجی کاربران ، شامل Certificate و و RADIUS و RSA SecureID . شما همچنین می توانید پیکربندی کنید اعتبار سنجی را در مکانهای متفاوتی . برای مثال ، شما می توانید پیکربندی کنید ISa Server برای اعتبار سنجی تمامی کاربران قبل از اینکه به آنها اجازه دسترسی به یک وب سایت داده شود. یا شما می توانی پیکربندی کنید ISA Server را برای عبور دادن کاربران دارای اعتبار به وب سرور، و سپس پیکربندی کنید وب سرور را برای اعتبار سنجی کاربران . در بسیاری از موارد ، شما ممکن است بخواهید اعتبار سنجی کاربران هم در سطح ISA Server و هم در سطح
Web Server انجام دهید.
+ نوشته شده در دوشنبه دوم اردیبهشت 1387ساعت 17:11 توسط مهدی عالیشوندی
|
ISA Server 2004 از Web Publising برای Enable کردن دسترسی امن به Internal web server ها برای Internet Client ها استفاده می کند . زماین که شما یک Web Publishing rule می سازید، شما ISA Server را پیکربندی می کنید در جهت گوش به زنگ بودن برای تقاضای های HTTP از اینترنت. زمانی که تقاضا برای یک Web page دریافت شد، ISA Server تقاضا ها را می سنجد ، اگر تقاضا ها با خصوصیاتی (Properties) از یک Web Publising rule یکسان باشد، ISA Server Forward خواهد کرد تقاضا را به سمت یک Internal web server . وب سرور داخلی Web Page تقاضا شده را به سمت ISa Server ارسال می کند،ISA Serverسپس Web Page را به کلاینت اینترنت forward می کند. اگر Caching بر روی Isa Server فعال باشد ، متعاقبا تقاضا ها برای Web page می تواند از ISa Server cache فراهم شود .
ISA Server چندین Option را برای امینت دسترسی به Internal Web server فراهم می کند. زمانی که شما یک Web Publishing rule را پیکربندی می کنید، شما تعیین می کنید آن کدام Web Server در حال Publish شدن است با Web Publishing rule ، فقط سرور های که publish شده اند قابل دسترسی هستند از اینترنت ، بعلاوه ، شما می توانید URL های که ISA Server به آنها پاسخ خواهد دارد را محدود کنید . برای مثال ، شما می توانید ISa Server را طوری پیکربندی کنید که فقط به URL مانند www.NetProcess.blogfa.com پاسخ دهد. اگر کاربران اینترنت برای ارتباط برقرار کردن با Web Server از هر URL دیگری استفاده کنند ، ISA Server تقاضاهای آنان را Drop خواهد کرد. همچنین شما می توانید IP Address ها و Address Range های که به انها اجازه داده شده تا با Web Server ارتباط برقرار کنند، را محدود کنید.
همچنین ISa Server Web publishing rules می توان برای پنهان کردن پیچیده گی های Internal Network را از Internet users استفاده کرد.عمدتا ، ممکن یک سازمان نیاز داشته باشد تا چندین Web Server را Publish کند ، اما ممکن فقط یک IP Address تک داشته باشند که قابل مسیریابی باشد بر روی اینترنت، یا Web sever ممکن چندین Virtual directories را شامل شود، اما سازمان ممکن است که بخواهد نامهای واقعی از این دایرکتوری ها از کاربران اینترنت پنهان بماند . در اغلب موارد ، یک Web site ممکن چندین لینک را به دیگر سرورهای داخلی که قابل دسترس از اینترنت نیستند را شامل شود. ISa Server در تمامی این موقعیت ها می تواند مورد استفاده قرار بگیرد و یک نقطه ورودی برای INternal Web Site ها را فراهم کند، حین اینکه پیچیدگی های پیکربندی داخلی از کاربران اینترنت پنهان باشد.
+ نوشته شده در چهارشنبه بیست و هشتم فروردین 1387ساعت 20:12 توسط مهدی عالیشوندی
|
بیشتر سازمانها می خواهند کاربران اینترنت قادر به دسترسی به بعضی منابع که بر روی شبکه داخلی یا شبکه محافظت شده آنها دسترسی داشته باشند . در کمترین حالات ، بیشتر سازمانها نیاز دارند تا دسترسی به وب سایت عمومی شان را فراهم کنند.سازمانهایی که از اینترنت برای انجام دادن معاملات تجاری پیچیده استفاده می کنند ممکن است نیاز داشته باشند که یکسری اطلاعات محرمانه را قابل دسترس کنند و یا به وسیله یک وب سایت امن یک سری اطلاعات محرمانه را جمع آوری کنند. بعلاوه ، سازمانها ممکن است نیاز به Enable کردن دسترسی به منابع غیر وب را داشته باشند، از قبیل DNS Server ها ، سرور های رسانه ای یا Database Server .
قابل دسترس ساختن منابع داخلی به وسیله اینترنت ریسک های امنیتی را برای سازمان افزایش می دهد . برای کاهش این ریسک ها ، Firewall در یک محیط از شبکه باید قادر به بلاک کردن تمامی ترافیک های بدخواه از تمامی ترافیک های شبکه سازمان باشد، و اطمینان از اینکه کاربران اینترنتی فقط می توانند دسترسی به سرورهای لازم داشته باشند. همچنین یک firewall ممکن نیاز داشته باشد تا ترافیک را به سمت بیشتر از یک سرور داخلی هدایت کند،و دسترسی به چندین وب سایت ها یا Internal Server ها مدامیکه از پیکربندی Internal Network از اینترنت فراهم کند.
شما می توانید از ISA Server 2004 استفاده کنید برای فراهم کردن دسترسی امن به منابع داخلی برای کابران اینترنت با استفاده از ISA Server در جهت انتشار منابع داخلی. برای پیکربندی کردن ISA Server Publishing ، شما یک Publishing rule که تعیین می کند که چگونه ISa Server پاسخ خواهد داد تقاضا ها از اینترنت، را پیکربندی کنید. ISA Server سه نوع Publishing rule را فراهم کرده است .
1- web publishing rule
2-Secure Web publishing rule
3-Server publishing rule
در پست های بعدی درباره این سه نوع از Publishing rule توضیح خواهم داد.
+ نوشته شده در چهارشنبه بیست و هشتم فروردین 1387ساعت 18:8 توسط مهدی عالیشوندی
|
تقریبا تمامی سازمانها دسترسی به اینترنت را برای کاربرانشان مهیا می کنند. استفاده از Word Wide Web به عنوان منبعی از اطلاعات و بعنوان ابزار ارتباطاتی وسیله ای است که تمام سازمانها نمی توانند بدون دسترسی به آن استطاعت داشته باشند. در یک زمان ، اطمینان از آن که Internet connection آنها امن است یک مسئله حیاتی و اساس است.
مهیا کردن دسترسی امن برای کاربران یک سازمان توانایی است که در زیر بیان شده است .
1- کاربران به منابعی که نیاز دارند می توانند دسترسی داشته باشند. در بسیاری از سازمانها ، کاربران باید قادر به دسترسی به اینترنت با استفاده از یک Web Borwser و یا Application های دیگر باشند.
2-کاربران فقط می توانند به منابع مجاز دسترسی داشته باشند. بعضی از سازمانها یک سیاست استفاده از اینترنت دارند که نوع هایی از Application هایی که می توانند استفاده کنند برای اینترنت و نوع هایی از منابع اینترنت که می توانند به آن دسترسی داشته باشند را تعریف می کند.
3-ارتباط به اینترنت امن است ، تصورا ، ارتباط با اینترنت نباید هر اطلاعاتی در باری سیستم داخلی که می تواند استفاده شود برای حمله آسان به کلایت کامپیوتر و اطلاعات درباره شخص کامپیوتر ( برای مثال ، نام کامپیوترو نام کاربری که وارد سیستم شده، فولدرهای اشتراکی) و جزئیات درباره پیکربندی شبکه(برای مثال، IP Address کلاینت ها) را به محیط خارج ارسال کند و باید بخوبی مخفی بماند.
4- داده هایی که کابران به اینترنت انتقال می دهند و یا از اینترنت انتقال می دهند امن است . در برخی موارد ، ممکن است کاربران دادهای محرمانه شخصی را ارسال کنند ، از قبیل اطلاعات کارت های اعتباری ، یا اطلاعات محرمانه سازمان ، از قبیل Client data بر روی اینترنت ، این اطلاعات زمانی که سازمان را ترک می کنند باید امن شده باشند.می توان از ISA Server 2004 استفاده کرد برای امن کردن منابع قابل دسترسی برای کلاینت ها بر روی اینترنت . برای Enable کردن این ، شما باید پیکربندی کنید این Option را ، ISA Server بعنوان یک Proxy Server بین کلاینت های داخلی و منایع اینترنت عمل می کند.
زمانی که شما کلاینت های داخلی را برای ارسال تمام تقاضا های اینترنت از میان ISA Server پیکربندی می کنید، تقاضاهای کلاینت ها فرستاده میشود به کامپوننت Proxy server در ISA Server . سپس ISA Server تمامی تقاضاهای کلاینت ها را به سمت Web Server بر روی اینترنت ارسال می کند. Web Server در جواب تقاضا ها یک پاسخ را به Proxy server ارسال می کند. سپس Proxy Server پاسخ برگشتی به سمت کلاینتی که اطلاعات را تقاضا کرده بود Forward می کند.استفاده از Proxy Server توانایی است که ارتباط مستقیم بین Internal Client و Web Server وجود ندارد . و اطلاعات کلاینت های داخلی سازمان در سراسر اینترنت ارسال نخواهد شد. به علاوه در یک ارتباط امن را فراهم می کند، ISA Server 2004 همچنین می تواند فیلتر کند تقاضاهای اینترنت را که مبتی بر اطلاعاتی هستند از قبیل نام کاربری ، IP Address کلاینت ها ، پروتکل و متن تقاضا . این وسیله ای است که شما می توانید محدود کنید کدام یک از کاربران می توانند دسترسی داشته باشند به اطلاعات بر روی اینترنت ، کدام یک از Application ها می توانند برای دسترسی به اینترنت استفاده شوند، و کاربران میتوانند به چه نوع اطلاعاتی دسترسی داشته باشند.
همچنین ISA Server می تواند به عنوان یک Caching server عمل کند . کش ISA Server یک انباری است از Object هایی که مکررا بازیافت می شوند و URL هایی که در cache Drive کامپیوتر ISA Server قرار گرفته اند. Caching کارایی شبکه را بهبود می بخشد زیرا ISA Server می تواند اطلاعات را به سمت Client از کش سریعتر از اینترنت برگرداند. برای مثال ، زمانی که یک کاربر یک صفحه را از یک Web Server تقاضا می کند که آن در کش ISA Server وجود ندارد ، ISa Server ان Object را از Web بازیافت می کند و سپس یک کپی از آن را قبل از اینکه آن Object را به کاربر تحویل دهد در کش ذخیره می کند. مزیت Caching این است که زمانی کا کاربر دومی همان Web page را تقاضا کرد ، ISA Server ، آن را از Cache به کاربر برمی گرداند، در وقت صرفه جویی می شود و همچنین ترافیک اضافی اینترنت را حذف می کند.
+ نوشته شده در یکشنبه بیست و پنجم فروردین 1387ساعت 19:0 توسط مهدی عالیشوندی
|
واقعیت این است تمام firewalls قابل دسترس امروزی Packet filtering و Stateful filtering را انجام می دهند. هرچند که بسیاری از این Firewall ها توانایی انجام Application-Layer filtering را ندارند. و Application-layer filtering یکی از حیاتی ترین مولفه های امنیتی در یک محیط شبکه شده است. برای مثال ، واقعا تمامی سازمانها به ترافیک HTTP اجازه می دهند روی پورت 80 تا از شبکه داخلی به سمت شبکه اینترنت جریان داشته باشد. در نتیجه ، حالا بسیار از Application ها می توانند از میان HTTP تانل شوند، برای مثال ، MSN Messanger و بعضی از Application های پر تو پر فایل اشتراکی ، از قبیل Kazaa ، از پروتکل HTTP استفاده می کنند. پروتکل HTTP همچنین می تواند شامل ویروسها و کدهای بد خواه دیگر باشد .
فقط یک راه برای Block کردن ترافیک شبکه ناخواسته وجود دارد، که به ترافیک HTTP درست و سالم اجازه می دهد، بکارگیری از یک Firewall با توانایی Application-Layer Filtering است. Application-Layer firewall می تواند امتحان کند محتوای بسته ها را و ترافیک مبتی بر متدهای HTTP ( برای Block کردن Application ) یا اثرات (برای Block کردن ویروسها ، کدهای بدخواه و یا Applicationها ) را بلاک کند. ISA Server 2004 واقعا یک از خبره ترین Application-Layer firewall است که برای محافظت از شبکه های حیاتی شده است .
+ نوشته شده در شنبه بیست و چهارم فروردین 1387ساعت 9:53 توسط مهدی عالیشوندی
|
ISA Server همچنین استفاده می کند از Application-Layer Filtering برای معلوم کردن اینکه آیا به یک بسته اجازه داده شده یا نه . Application-Layer Filtering متن واقعی از بسته ها را برای معلوم کردن بسته می تواند از میان Firewall به جلو رانده شود امتحان می کند . یک Application Filter بسته ورودی را باز می کند و امتحان می کند که این اطلاعات واقعی است ؟ قبل از اینکه تصمیم به جلو راندن (Forward ) بگیرد. برای مثال ، یک کاربر بر روی اینترنت ممکن تقاضای یک صفحه از یک Web Server را با استفاده از HTTP با فرمان GET کند . زمانی که بسته به یک Firewall می رسد ، Application filter بسته را بازرسی میکند و فرمان GET را پیدا میکند . Application fileter پالیسی ها را چک می کند برای اینکه معلوم کند به فرمان Get اجازه داده شده ؟ در اغلب موارد ، به فرمان Get اجازه داده شده و بسته ها به Web Server داخلی Forward می شوند.
اگر کاربر یک بسته مشابه را به Web Server ارسال کند ، اما از فرمان HTTP Post استفاده شده باشد ، ISA Server دوباره بسته را امتحان می کند . چون فرمان POST برای نوشتن اطلاعات در Web Server استفاده می شود، فرمان احتمالا Block خواهد شد. ISA Server به فرمان POST توجه می کند ، معلوم می کند که فرمان به وسیله Firewall policy اجازه داده نشده است ، و بسته Drop می شود. HTTP Application filter در ISA Server 2004 فراهم شده و می تواند هر اطلاعاتی را در داده ها چک کند، شامل اثرات ویروسها ، طول URLها ، متن Header های صفحه و پسوند فایل ها را . ISA Server یک Application filter دیگر برای امنیت پروتکل های دیگر و Application ها اضاف بر HTTP filter را شامل می شود.
+ نوشته شده در شنبه بیست و چهارم فروردین 1387ساعت 8:45 توسط مهدی عالیشوندی
|
Stateful filtering استفاده می کند امتحانی بطور کاملتر را از Packet شبکه برای تصمیم گرفتن بر روی اینکه آیا بسته ها را به جلو براند یا نه . زمانی که ISA Server از بازرسی Stateful استفاده میکند، آن Header های IP و TCP را امتحان میکند برای معلوم کردن حالتی از بسته درون یک متن از بسته های قبلی که آنها عبور کرده اند از میان ISA Server ، یا درون متنی از یک جلسات TCP یا TCP Session . برای مثال ، یک کاربر بر روی شبکه داخلی ممکن تقاضایی را به یک Web Server بر روی اینترنت ارسال کند، Web Server یک پاسخ را به آن تقاضا ارسال می کند. زمانی که بسته پاسخ به Firewall می رسد، Firewall اطلاعات TCP Session که بخشی از بسته است را بررسی میکند. Firewall معلوم می کند که بسته جزئی از یک جلسه فعال جاری هست که با کاربر داخلی شروع شده باشد، بنابراین بسته به جلو رانده می شود به کاربر کامپیوتر. اگر یک کاربر خارج از شبکه در جهت ارتباط برقرار کردن با یک کامپیوتر داخل شبکه سازمان تلاش کند ، Firewall معلوم می کند که بسته جزئی از session فعال جاری نیست و بسته dropp خواهد شد.
+ نوشته شده در شنبه بیست و چهارم فروردین 1387ساعت 8:44 توسط مهدی عالیشوندی
|
packet filtering کار می کند با امتحان اطلاعات Header برای هر packet شبکه که به firewall میرسد . زمانی که یک Packet به ISA Server ، ISA Server باز میکند Header packets و اطلاعاتی از قبیل آدرس منبع و مقصد و همچنین پورت منیع و مقصد را چک می کند . ISA Server این اطلاعات را در مقابل Firewall Rules که تعریف می کنند چه Packets اجازه عبور دارند مقایسه می کند. اگر به آدرس منیع و مقصد اجازه داده باشند و اگر به پورت منبع و مقصد هم اجازه داده باشند Packets از میان firewall به سمت شبکه مقصد عبور خواهند کرد اگر به آدرس ها و پورت ها به صراحت اجازه داده نشده باشند پاکت ها Dropp خواهند شد و از میان firewall به جلو رانده نمی شوند.
+ نوشته شده در شنبه بیست و چهارم فروردین 1387ساعت 8:43 توسط مهدی عالیشوندی
|
یک Firewall وسیله ای است که بین یک بخش از شبکه و بخش دیگر قرار گرفته ، و فقط به ترافیک های معتبر اجازه می دهد تا عبور کنند بین دو بخش از شبکه. Firewall پیکر بندی شده با Traffic Filtering rules که تعریف می کند نوع های از ترافیک شبکه که اجازه خواهد داد تا از میان Firewall عبور کنند.یک Firewalle ممکن در موقعیتی باشد و پیکربندی شده باشد برای اینکه سازمان را از اینترنت حمایت کند، یا ممکن Firewall در یک موقعیت داخلی قرار گرفته باشد برای حمایت از بخش های خاصی از شبکه متحد یک سازمان.
در برخی موارد ، firewalls مستقر شده اند در یک Network Premiter ، هدف اصلی از یک Firewall در این پیکر بندی اطمینان از آن است که ترافیت از یک شبکه قابل دسترس عمومی شبیه اینترنت نتواند وارد شبکه سازمان شود مگر اینکه به آن ترافیک صریحا اجازه داده شده باشد.برای مثال، یک سازمان ممکن است یک Web Server داخلی داشته باشد که نیاز به دسترسی داشته باشد برای کاربران اینترنت. Firewall می تواند پیکربندی شده باشد برای اجازه به ترافیک اینترنت برای دسترسی به آن Web Server.
ISA Server 2004 عملکردهای firewall را فراهم میکند . بطور پیشفرض، زمانی که شما مستقر می کنید ISA Server را ، Isa Server تمامی ترافیک بین شبکه هایی که ضمیمه شده اند به سرور را بلاک می کند، که شامل Premiter Networks ( و همچنین شناخت به عنوان یک منطقه غیرنظامی « demilitarized zone » ، یا DMZs) ، و اینترنت . ISA Server 2004 از سه نوع Filtering rules برای Block کردن یا اجازه دادن ترافیت شبکه استفاده میکند packet filtering ، Stateful filtering and application-layer filtering.
+ نوشته شده در شنبه بیست و چهارم فروردین 1387ساعت 8:42 توسط مهدی عالیشوندی
|
این سناریو Internet Connection امن که بسیار سخت است را می سازد. صرف نظر از سناریو شرکت ، ISA Server طراحی شده تا امنیت مورد نیاز را در محیط شبکه را فراهم سازد. برای مثال ، در سناریوی که در شکل 1-2 نشان داده شده است، ISA Server می تواند امینت شبکه محیطی را با انجام نکات زیر فراهم آورد.
1- قادر ساختن دسترسی ناشناس در وب سایت عمومی مادامیکه عبور می کنند کد های بد خواه از صافی (Filtering out )در جهت وب سایتی که در خطر است .
2-اعتبار سنجی کاربران از سازمان شریک قبل از اینکه اجازه دسترسی به وب سایت خصوصی داده شود .
3- قادر ساختن دسترسی VPN بین لوکیشن های یک سازمان بنابران که کاربران در Branch Office می توانند دسترسی داشته باشند به منابع شبکه داخلی.
4- اجرای سیاست های دسترسی به اینترنت سازمان با محدود کردن پروتکل های قابل دسترس کاربران ، و با فیلتر کردن تقاضای هر کاربری در اطمینان از این که آنها فقط به منابعی دسترسی خواهند داشت که اجازه داده شده اند.
5- قادر ساختن دسترسی به ایمیل سرورهای داخلی برای کامندان راه دور، و قادر ساختن دسترسی کلاینت های VPN به فایل سرور های داخلی.
در سناریو بعدی ما درون جزئیات خواهیم رفت درباره آن که چگونه ISA Server این عملکردها را فراهم می کند.
+ نوشته شده در شنبه بیست و چهارم فروردین 1387ساعت 8:41 توسط مهدی عالیشوندی
|
Isa Server طراحی شده است برای امن کردن محیطی از شبکه یک سازمان . در بعضی موارد این محیط (Perimeter ) بین شبکه محلی داخلی سازمان(LAN) و شبکه عمومی از قبیل اینتر نت است. در شکل 1-1 مثالی است از جایی که ممکن ISA Server مستقر شده باشد.
شکل 1-1 نشان داد یک مثال ساده از استقرار ISA Server ، شبکه داخلی ، یا شبکه حمایت شده معمولا جا گرفته بر یک اجازه یک سازمان و در تحت کنترل کارمندان IT سازمان . شبکه داخلی مورد توجه امینت نسبی قرار گرفته است که این عادی است که فقط کاربران معتبر دسترسی فیزیکی دارند به شبکه داخلی. همچنین ، کارکنان IT اجازه محدودی از کنترل بر روی نوع هایی از ترافیک که به آنها جازه داده شده است بر روی شبکه داخلی را دارند.
هشدار امنیتی
حتی اگر چه شبکه داخلی شما امینت بیشتری از اینترنت دارد ، اما این فکر اشتباه را نکنید که محیط شبکه شما امن است . برای حمایت شما بصورت کامل بر روی شبکه داخلی تان ، شما باید یک استراتژی دفاع در عمق را بکار بگیرید ، که این شامل مراحلی در اطمینان از آن که شبکه داخلی امن است حتی در رویدادهای از رخته یا نقص محیطی. بسیاری از شبکه های جدید مورد حمله هایی قرار گرفتند شبیه ویروسها و کرمها که شبکه را ویران کردند درحالی که آن محیط ها امن بودند. Isa Server در امینت محیط شبکه حیاتی است، اما این تفکر را نکنید که کار شما بعد از استقرار ISA Server به پایان رسیده است.
یک سازمان کنترل ندارد بر روی که چه کسی دسترسی داشته باشد به اینترنت یا برروی امنتی از ترافیک شبکه روی اینترنت . هر شخصی در جهان با یک Internet Connection می تواند قرار گیرد و دسترسی داشته باشد به هر Internet Connection دیگری ، استفاده از تقریبا هر application یا پروتکلی. همچنین، Network Packets فرستاده شده به وسیله اینترنت امن نیستند زیرا آنها می توانند اسیر شده باشند و یا بازرسی شده باشند با هر شخصی که اجرا می کنند Packet sniffer را بر روی بخش از شبکه اینترنت.
Packet Sniffer یک Application است که می تواند استفاده شود برای اسیر کردن و دیدن تمام ترافیک شبکه بر روی یک شبکه . در اسیر کردن ترافیک شبکه Packet Sniffer باید ارتباط داده شده باشد با یک بخش از شبکه که قرار گرفته بین دو مسیریاب (Router)
هشدار امینتی
اینترنت یک اختراع جذاب و باورنکردنی است . شما می توانید اطلاعاتی جزء به جزء درباره هر چیزی را بصورت Online پیدا کنید. شما می توانید نشان دهید خود را به جای مردم دیگر و چگونه تقسیم کنید علایق و پیشنهادات را با مردم دیگر صرفنظر از مرز ملیتی و یا فاصله فیزیکی. در یک زمان ، اینترنت همچنین یک مکان پر خطر است ، بسادگی، زیرا هر شخصی می تواند به اینترنت دسترسی داشته باشد .این خیلی طبیعی است که ساختن اینترنت امن تقریبا غیر ممکن باشد . برای مثال ، اینترنت طراحی نشده برای تشخیص بین کاربران درست و هکرها هر دوی این کاربران می توانند اجازه دسترسی داشته باشند به اینترنت . این وسیله ای است که به محض اینکه سازمان شما یک ارتباط را به اینترنت ایجاد می کند ، آن ارتباط بدون محافظ است برای هر شخصی ، این ممکن است یک کاربر درست باشد که برای پیدا کردن اطلاعات وب سایت سازمان شما را نگاه می کند یا یک هکر است که تلاش می کند که سایت سازمان شما را بدشکل کند و یا اطلاعات مشتری شما را از شما بدزدد. اولیه مرحله خوب در امنیت Internet Connection شما این است که وانمود کنید که بدترین آغاز با خود بین آن است که هر کاربری که ارتباط برقرار می کند با شما او یک هکر است مگر اینکه خلاف آن ثابت شود.
شکل 1-1 یک مثال ساده از پیکر بندی (Configuration) یک شبکه که آنجا مرز بین شبکه داخلی سازمان و اینترنت را خیلی آسان تعریف کرده را نشان می دهد. در حقیقت تعریف مرز بین یک شبکه سازمان و آسوده از جهان به این سادگی نیست .
در شکل 1-2 پیچیده گیهای بیشتری نشان داده شده است ، اما محدودتر ، شبکه ی محیطی خیلی متفاوت تر تعریف شده در یک سناریوی از قبیل چیزی که در شکل 1-2 نشان داده شده . برای مثال ، نیازمندیهای شرکتی ممکن توانایی داشته باشد که مرز بین اینترنت و شبکه داخلی بتواند پخش شده باشد بین چندین راه مختلف.
1- هر کاربری بر روی اینترنت باید توانایی دسترسی به وب سایت عمومی را داشته باشد .
2- فقط کاربران از شرکت شریک باید توانایی دسترسی به وب سایت خصوصی را داشته باشند و این کاربران باید محدود شده باشند در این که آنها چه چیزی را می توانند ببینند بر روی سایت . این کاربران دسترسی دارند به سایت خصوصی از طریق اینترنت .
3-کاربران از شعبه دیگر (branch office) سازمان باید توانایی دسترسی فول به منابع بر روی شبکه داخلی را داشته باشند . این ارتباط فقط بین Branch Office و شبکه های Main Office عبور کنند از میان اینترنت .
4-کارکنان در خارج از اداره یا سازمان با داشتن یک Internet Connection باید اجازه دسترسی داشته باشند به منابع بر روی شبکه داخلی، که شامل ایمیل سرورها و فایل سرورها است .
5- کاربران بر روی شبکه داخلی باید توانایی دسترسی به به اینترنت را داشته باشند ، اما باید محدود شده باشند به استفاده از Applications خاص یا مخصوصی و اجازه دسترسی داشته باشند فقط به منابع خاصی از اینترنت .
ادامه مطلب در پست بعدی
+ نوشته شده در پنجشنبه بیست و دوم فروردین 1387ساعت 21:2 توسط مهدی عالیشوندی
|
Isa Server 2004 یک مولفه ارزشمند است در یک طرحی برای امنیت شبکه یک سازمان . زیرا ISA Server مستقر می شود در نقطه ارتباطی بین شبکه داخلی سازمان و اینترنت ، نقش ISA Server حیاتی است . تقریبا تمام سازمان های یک سطح از دسترسی به اینترنت را برای کاربران خود فراهم می کنند. ISA Server می تواند استفاده شود برای اجرا کردن سیاست های امنیتی بر اساس نوع دسترسی که کاربران به اینترنت خواهند داشت . در یک زمان مشابه همچنین بسیاری از سازمانها اجازی دسترسی به بعضی از سرور های داخلی را به کاربران راه دور خواهند داد . برای مثال ، تقریبا تمامی سازمانها اجازه خواهند داد تا کاربران بر روی اینترنت برای ارسال ایمیل به ایمیل سرورهای داخلی آنها دسترسی داشته باشند. بسیاری شرکت ها میزبان وب سایت داخلی خودشان هستند. یا می خواهند که کارمندانشان از طریق اینترنت به منابع داخلی شرکت دسترسی داشته باشند . ISA Server 2004 می تواند استفاده شود برای اطمینان از آنکه دسترسی به این منابع داخلی امن باشد.
+ نوشته شده در پنجشنبه بیست و دوم فروردین 1387ساعت 16:24 توسط مهدی عالیشوندی
|
من در این وبلاگ یک Overview از ISA Server خواهم گفت که ISA Server چگونه امنیت شبکه سازمان شما را تامین خواهد کرد ، در این بخش هیچگونه فعالیتی وجود ندارد که با ISA Server کار داشته باشید و فقط بصورت تئوری می باشد .
در قسمت های بعدی جزئیات بیشتری را خدمتون ارئه خواهم کرد.
+ نوشته شده در سه شنبه بیستم فروردین 1387ساعت 18:26 توسط مهدی عالیشوندی
|
سلام خدمت تمامی دوستان گرامی
من مهدی عالیشوندی هستم و می خواهم سعی کنم اطلاعاتی که درباره ISA Server را در اختیارتان قرار دهم امیدوارم که مورد استفاده شما دوستان گرامی قرار گیرد.
+ نوشته شده در سه شنبه بیستم فروردین 1387ساعت 17:32 توسط مهدی عالیشوندی
|
