نرم افزار ISA

[masood_y]

بخش اول:

نرم افزار ISA يا Internet Security and Acceleration توسط شرکت Microsoft براي Windows عرضه گرديده است. اين نرم افزار که در حقيقت نسخه جديدي از MSProxy است داراي قابليتها و تواناييهاي جالبي است. اما متأسفانه هنوز هيچ کتابي در اين مورد به زبان فارسي نوشته نشده است. حتي اکثر کساني که از اين نرم افزار استفاده مي کنند با بسياري از قابليتهاي ISA آشنا نيستند. در سايتها و وب لاگهاي کامپيوتري هم کمتر کسي پيدا مي شود که حتي اشاره اي به ISA کرده باشد.

نرم افزار ISA (بخش1)

نرم افزار ISA داراي دو قابليت اصلي است.
1- Firewall - 2 Cache
با استفاده از قابليت Caching مي توان Request هاي Http و Ftp کاربران شبکه را Cache کرد تا در هنگام درخواستهاي تکراري با صرفه جويي در زمان و پهناي باند بتوان به آن درخواستها از طريق اطلاعات Cache Server پاسخ گفت.

Cache
بخش Caching خود، داراي قابليتهاي زير است:
1) Automatic & Scheduled Caching : در اين قابليت ISA بطور هوشمندانه در ساعات مشخصي (ساعاتي که ترافيک شبکه کم است) به سراغ سايتهايي که قبلا Cache شده اند اما زمان TTL آنها تمام شده است و Expire شده اند رفته و بطور اتوماتيک آنها را Update مي کند. ISA اين عمل را با اولويت سايتهاي محبوب (سايتهايي که بيش از ساير سايتها توسط کاربران درخواست شده اند) انجام مي دهد. نتيجه اين کار اين است که سايتهاي محبوب کاربران همواره بصورت Update شده در ISA براي تحويل به کاربران فراهم است. ضمن اينکه ما بصورت دستي نيز مي توانيم ساعاتي را براي Update کردن سايتهاي دلخواهمان تعيين کنيم.

2) Reverse Caching : با استفاده از اين قابليت ISA مي تواند اطلاعاتي را که بر روي Web Server داخلي شبکه قرار دارند را پس از آنکه يکبار در اختيار کاربران موجود در اينترنت قرار داد بر روي خود Cache نموده و در صورت تقاضاي مجدد بدون مراجعه به Web Server اطلاعات Cache شده را در اختيار کاربران Internet قرار دهد. اين خاصيت موجب کاسته شده ترافيک بر روي Web Server مي شود.

3) Transparent Cache: يکي از قابليتهاي ISA اين است که هم بصورت Proxy Base و هم بصورت Transparent قابليت Cache کردن را دارد. در جلسات بعد در اين مورد بيشتر صحبت خواهيم کرد.

4) Distributed and Hierarchical Caching : مي توان بجاي يک ISA Cache از چند ISA Cache در شبکه استفاده کرد. سپس همه آنها را بصورت يک Array درآورد. در اين حالت تمام ISAها دست به دست هم داده و يک Cache يکپارچه را تشکيل مي دهند. درصورتيکه Objectهاي Cache شده از لحاظ فيزيکي بر روي اين ISA Server ها توزيع شده است و هر کدام قسمتي از اطلاعات را Cache نموده اند. ضمنا" ما مي توانيم از يک Root System نيز استفاده کنيم بگونه اي که يک يا چند ISA Server به اينترنت مستقيما" وصل بوده و Object هاي مورد نياز خود را از طريق ISA Serverهاي بالاتر تأمين نمايد. در اين حالت با استفاده از پروتکلCARP يا Cache Array Routing Protocol اطلاعات مورد نياز Clientها از روي يک Array جمع آوري شده و در اختيار آنها قرار مي گيرد.


Firewall
امروزه Firewallها در دو نوع سخت افزاري و نرم افزاري وجود دارند. مزيت عمده Firewallهاي سخت افزاري در سرعت آنهاست. از نمونه هاي سخت افزاري مي توان به Cisco PIX Firewall اشاره کرد که MicroSoft ادعا مي کند تمامي قابليتهاي يک Firewall سخت افزاري در ISA گنجانده شده است و بدليل قيمت بسيار کمتر براي استفاده اقتصادي تر است.

بطور کلي مي توان گفت قابليتهاي نرم افزار ISA در زمينه Firewall عبارتند از:

1- کنترل استفاده از اينترنت: در ISA مي توان با استفاده از Policyها ترافيک ورودي و خروجي را بر مبناي سايتها , Protocolها و محتويات Packetها Filter کرد.

2- مي توان Packetها را بر اساس لايه ها (از لايه Network تا Application) فيلتر نموده و حتي ترافيک هاي مربوط به DNS را کنترل کرد.

3- ISA با استفاده از قابليت Intrusion Detection مي تواند جلوي نفوذ هکرها را بگيرد. بر روي ISA روشهاي معروف Hack تعريف شده است و در صورتيکه فردي اقدام به استفاده از اين روشها نمايد ISA جلوي او را خواهد گرفت. به عنوان مثال ISA مي تواند Scan شدن Portها را تشخيص داده و جلوي آنرا بگيرد.

[masood_y]

و اما ادامه بحث:

ISA داراي قابليتهاي مختلفي است که مي توان آنها را بصورت زير خلاصه کرد:

1- قابليت اعمال Policy هاي مختلف.
2- امکان کنترل Bandwidth (Qos).

توجه: در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد. (بعدها در اين مورد بيشتر صحبت خواهيم کرد.)

3- امکان پشتيباني از VPN.
4- امکان Publish کردن Webserverهاي داخلي شبکه.

پس از Publish کردن Webserverهاي داخلي هرگاه يک کاربر از طريق Intenet بخواهد به Webserver ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Webserver هاي ما دسترسي داشته باشد.
5- H.323 GateKeeper: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. (مثل NetMeeting)
6- Monitoring & Alerts.

نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک WebProxyClient عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall استفاده نماييم بايد Clientها داراي Win95 به بعد باشند. Clientها مي توانند به عنوان SecureNAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره مند شوند.

ISA Server مي تواند در دو حالت زير نصب شود:

1- Stand-alone : در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
- هزينه کمترو تنظيمات کمتري نياز دارد.
- تمام قابليتهاي Caching و Firewall را داراست.
- از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
- داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
- Single Point of Failure: در حالت Stand alone همه چيز وابسته به ISA است و اگر ISA دچار مشکل گردد Internet قطع خواهد شد.

2- Enterprise Array: پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
- امکان اعمال Enterprise Policy.
- امکان مديريت متمرکز
- No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
- نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
- از نظر هزينه نسبت به روش قبلي گرانتر است.
- در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.

قابليت Array Chains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.

Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به WebServer ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.

مزاياي Publish کردن:
- بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.
- امکان Reverse Caching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
- اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
- نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.

[MCP]

بهتر بود يه اشاره( يا اجازه! ) به منبع اين مقاله ميكردين ( تا بعدها براي PN حرف در نيارن... )

آخه يه لحظه فكر كردم اين سايته از رو مقاله شما كپي زده

http://www.farstec.com/learn.asp?num=1059745778
http://www.farstec.com/learn.asp?num=1411983014

[masood_y]

به نکته جالبی اشاره کردید امیر جان !!!
اگر یک نگاه به ارسال مقاله جديد بندازید می بینید که من در پست آخر گفتم که خودم این مقاله رو ننوشتم. بلکه دارم از جاهای مختلف جمع و جورش می کنم تا یه مقاله کامل رو در PN داشته باشیم.
در حقیقت یک جمع آوری میشه گفت تا یک مقاله.
به هر حال از لطفت به قانون کپی رایت ممنونم.

[VPSLnet]

به نکته جالبی اشاره کردید امیر جان !!!
اگر یک نگاه به ارسال مقاله جديد بندازید می بینید که من در پست آخر گفتم که خودم این مقاله رو ننوشتم. بلکه دارم از جاهای مختلف جمع و جورش می کنم تا یه مقاله کامل رو در PN داشته باشیم.
در حقیقت یک جمع آوری میشه گفت تا یک مقاله.
به هر حال از لطفت به قانون کپی رایت ممنونم.

به حر حال آقا امير هم نيت خير داره

[Hakimi]

آقا مسعود، این مقاله نوشته یکی از اعضای انجمن، دوست گرامی آقای علی کيائی فر (http://forum.persiannetworks.com/member.php/?u=6271) است. من چند ماه پیش از ایشان اجازه گرفتم که مقاله شان را در انجمن قرار دهم. چند مقاله از ایشان را در قسمت مقالات قرار دادم، ولی سری مقالات مربوط به ISA (که اگر اشتباه نکنم 7 عدد است) به نظر من کمی نیاز به بازنگری داشت، برای همین این کار موکول به زمانی مناسب شد. شاید این زمان مناسب همین تعطیلات! عید نوروز باشد. (البته اگر تعطیلاتی در کار باشد!)
سعی می کنم زودتر این کار را انجام دهم تا همه دوستان بتوانند از نوشته های ایشان استفاده کنند.

از شما هم بابت نیت خیرتان سپاسگذارم.
اگر مقاله دیگری دارید (بغیر از مقالاتی که ذکر کردم) ممنون خواهم شد که در اختیار ما قرار دهید.

باز هم از شما ممنونم.

[llsaeidll]

جناب آفای حکیمی ازقدیم گفتن کاچی بهتر از هیچی

حالا که آفا مسعود بعد از مدتها کلنجار با آیزا استاد شدند و مقاله دیگه ای هم توی انجمن نیست همین مقاله بدون بازنگری هم میتونه راهنمائی خوبی برای اعضا باشه وشاید تجربیات ایشون در خلال نوشته ها بیش از مفاله اصلی بکار بیاد

[Hakimi]

نوشته من هم منافاتی با اشاره شما نداشت. مسلم است که تجربیات هرکس می تواند ارزشمند باشد. تذکر من صرفا در مورد مقالات مشخصی بود که نویسنده آنها معلوم است. ولی همه ما از نوشته شدن تجربیات و معلومات آقا مسعود در قالب مقاله استقبال خواهیم کرد و از آنها استفاده خواهیم برد.
منتظر نوشته های مسعود خان هستیم

[masood_y]

عجب ...
من که در حد و اندازه هائی نیستم که بخوام مقاله بنویسم. با وجود اساتید بزرگ نظیر آقا خسرو، آقا کوروش، آقای آریا گوهر، آقا امیر و ... .
اما در هر صورت تا جائی که در توانم باشه کوتاهی نمی کنم.

ارادتمند - مسعود.ی

[saman_nn2000]

داشتم در مورد DMZ جستجو مي كردم يك مطلب خيلي قشنگ پيدا كردم ....كه بد نديدم براي تكميل شدن مطالب مربوط به ISA SERVER اينجا هم داشته باشيم:

( منبع )

مقابله با ویروسها به وسیله ISA Server

براي جلوگيري از حملات ساسر بايد كليه پورتهايي را كه ساسر از آن استفاده مي كند را بلوك كنيد. شماره پورتهاي مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگي با پروتكل TCP كار مي كنند.

در موقع استفاده از ISA 2004 بصورت پيش فرض اين پورتها بلوك شده اند. هرچند كه اگر سروري داشته باشيد كه روالي براي پورت ها داشته باشد، اين سرور در معرض خطر است. در ضمن ممكن است بيشتر در معرض خطر باشيد وقتيكه يك Exchange Server در يك DMZ داشته باشيد. زيرا اين پورت بايد بين محدوده DMZ و شبكه داخلي باز باشد. البته شما نيازي به باز گذاشتن پورتي كه بين شبكه خارجي و DMZ قراردارد نداريد و احتمال بروز خطر را تا حد زيادي كاهش مي دهيد.



سياست پيش فرض براي فايروال ISA 2004 از انتشار ساسر در شبكه جلوگيري مي كند زيرا ساسر براي انتشار نياز به Outbound FTP دارد. اگر فايروال شما طوري طراحي شده كه تمام مسيرهاي خروجي آن باز باشد بايد براي پورتهاي اشاره شده حتما" روال دسترسي مناسبي تعريف كنيد.



براي جلوگيري از حملات ساسر از خارج از محدوده شبكه اين عوامل ممكن است مفيد باشند:



- براي پورتهاي گفته شده حتما" روال هاي دسترسي تعريف كنيد. بستن پورت TCP 445 در جهت خروجي از ترافيك CIFS خروجي جلوگيري مي كند و بستن پورتهاي 5556 و 9996 در جهت خروجي از امكان استفاده از يك كامپيوتر ويروسي به عنوان سرور FTP وانتشار كرم ساسر جلوگيري مي كند.



- تعريف فايروال روي ايستگاه كاري براي جلوگيري از عملكرد خرابكارانه ساسر. براي اين روش كاري حتما" بايد روي كامپيوتر Client يك فايروال نصب كرده باشيد. توجه داشته باشيد كه تمام Client هايي كه سيستم عامل Windows دارند بايد فايروال نصب كرده باشند. اگر تمام راه هاي خروجي دسترسي تعريف شده داشته باشند باعث جلوگيري از انتشار كرم ساسر خواهد شد.



كامپيوتري كه به عنوان ISA Firewall عمل مي كند هم بسيار آسيب پذير است براي جلوگيري از حملات داخلي توسط ساسر به خود ISA Server به هيچ وجه روال دسترسي براي ارتباط با كامپيوترهاي شبكه محلي با پورت هاي گفته شده ايجاد نكنيد.

روش بستن ارتباط خروجي روي پورتهاي شناسايي شده :

1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004

را بازكنيد و روي نام سرور Expand كنيد و روي Firewall Policy كليك كنيد.

2- روي Tab مربوط به Tasks درTask Pane كليك كنيد.

3- در صفحه Welcome to the new access Rule Wizard در جعبه نوشتاري Access Rule Name وارد كنيد Block Sasser Outbound و روي Next كليك كنيد.

4- در صفحه Rule Action وضعيت Deny را انتخاب كنيد و كليد Next را بزنيد.

5- در صفحه پروتكل انتخاب Selected Protocols را از ليست This Rule Applies to انتخاب كنيدو دكمه Add را بزنيد.

6- در صفحه مربوط به Add protocols روي New كليك كنيد پروتكل را انتخاب كنيد.


7- در صفحه مربوط بهWelcome to the New Protocol Definition Wizard جمله Sasser Outbound را در جعبع متن Protocol Definition Name وارد كنيد و روي New كليك كنيد.

8- در صفحه Primary Connection Information روي New كليك كنيد.

9- در جعبه متن New/Edit Protocol Definition نوع پروتكل را TCP انتخاب كنيد.در اينجا همچنين Direction را Outbound انتخاب نموده و پورتها را از 445 تا 445 انتخاب كرده كليد OK را بزنيد.



- براي پورتهاي 9996 و 5556 از رديف 9 تكرار كنيد.



11- در صفحه New Protocol Definition Information تمام پورت هاي تعريف شده ديده مي شوند و مي توانيد رويNext كليك كنيد.




12- در صفحه Secondary connections روي No كليك كنيد و سپس Next را بزنيد.

13- براي تكميل عمليات در صفحهCompleting the New Protocol Definition Wizard روي Finish كليك كنيد.

14- در جعبه محاوره اي Add protocols روي فولدر User-defined كليك كرده و روي Sasser Outbound دوبار كليك كنيد و سپس Close را بزنيد.

15- در صفحه Protocols روي Next كليك كنيد.

16- در صفحه Access Rule Source كليد Add را بزنيد.

17- در جعبه محاوره اي Add Network Entities روي فولدر Network Sets كليك كنيد و سپس روي All Protected Networks دوبار كليك كنيد. و Close را بزنيد.

18- در صفحه Access rule Sources روي Next بزنيد.



19- در صفحه Access Rule Destinations كليد Add را بزنيد.

20- در جعبه محاوره اي Add Network Entities روي فولدر Networks بزنيد و External را دوبار كليك كنيد و Close را بزنيد.

21- در صفحه User Sets حالت پيش فرض All Users را انتخاب و Next را بزنيد.

22- در صفحه مربوط به Completing the New Access Rule Wizard كليد Finish را بزنيد.

23- قاعده Block Sasser Outbound را به بالاي ليست انتقال دهيد.

24- براي ثبت تغييرات انجام شده روي Apply كليك كنيد.

25- در جعبه محاوره اي Apply New Configuration كليد Ok را انتخاب كنيد.

روش تنظيم فايروال مربوط به ايستگاه كاري براي بلوك كردن عملكرد ساسر

عملكرد مشكوك ساسر در اين مرحله بنام avserve و avserve2 شناخته شده است.

توجه داشته باشيد عملكرد ساسر با نام هاي متفاوت انجام ميشود مراحل بعدي كه توضيح داده خواهد شد 100% موثر نيست ولي اتصالات ايجاد شده توسط avserve و avserve2 را بلوك خواهد كرد.



1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004

را بازكنيد و روي نام سرور Expand كنيد و حالت Configuration را انتخاب كنيد.

2- روي General كليك كنيد.

3- روي Define Firewall Client Settings در قسمت Details paneكليك كنيد

4- در جعبه محاوره اي Firewall Client Setting روي Tab مربوط به Application Setting بزنيد.

5- روي Tab مربوط به Application Setting روي دكمه New كليك كنيد.



6- در پنجره محاوره اي Application Entry Setting در جهبه متن Application وارد كنيد: avserve . در ليست Key وضعيت Disable انتخاب كنيد و از ليست Value عدد 1 را انتخاب كرده سپس Ok را بزنيد.



7- مرحله 5 و 6 را تكراركرده اينبار در Application نام avserve2 را وارد كنيد.

8- در پنجره Firewall Client Setting با انتخاب Ok و سپس Apply مراحل را ثبت كنيد.

9- روي پنجره Apply new Configuration كليد Ok را بزنيد.



تنظيم فايروال مربوط به Client براي Avserve.exe و Avserve2.exe فقط از رفتار مشكوك روي كامپيوتر آلوده شده جلوگيري ميكند.اگر اين دستگاه به عنوان SecureNAT طراحي شده باشد اين تنظيمات ديگر موثر نخواهد بود. ( براي جلوگيري از دسترسي SecureNAT Client از طريق سرور ISA مطمئن شويد كه هيچ دسترسي ناشناخته اي در مسير خروجي وجود ندارد).



شما همچنين ميتوانيد قابليت روال Block Sasser Outbound را از طريق Telnet روي يك دستگاه كه در شبكه تحت محافظت ISA 2004 Firewall است ، كنترل كنيد.



1- كنسول Microsoft Internet Security and Acceleration را بازكنيد و سرور را Expand كنيد.و روي Monitoring كنسول كليك كنيد.

2- روي Tab مخصوص به Details گزينه Logging را انتخاب كنيد.

3- رويTab مربوط به Tasks روي لينك Start Query بزنيد.

4- روي يك ايستگاه در يك شبكه محافظت شده ابتدا Start و سپس Run را بزنيد. در پنجره متني Open دستور cmd را تايپ كنيد و Ok نماييد.

5- در Prompt تايپ كنيد: Telnet 131.107.1.1 5556 و Enter را بزنيد.

6- به كنسول Microsoft Internet Security and Acceleration Sever 2004 بازگرديدو گزارش مربوط به زمان (real time log) مونيتور كنيد. بايد متن زير را در پيغامها ببينيد:

Block Sasser Outbound

.

10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser

Outbound



10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser

Outbound.

نویسنده: فریبا اسودی
ناشر : مشورت
تاریخ نشر : ۹ مرداد 1383

اميدوارم براي شما هم مفيد بوده باشه.....