ISA Server 2006 SP1 - overview

Za razliku od prethodnih service packova, za ranije verzije ovog proizvoda (verzija 2004 imala ih je tri), ovaj je znatno drugačiji. Naime, osim skupa zakrpa i sigurnosnih popravki, koje su svakako prisutne, SP1 za ISA Server 2006 donosi i neka vrlo značajna funkcionalna poboljšanja. Dosta tih poboljšanja implementirano je na zahtjev korisnika, kroz redovne Microsoft programe anketiranja velikih korisnika. Na žalost, ono što je dosta korisnika očekivalo, a to je podrška za instalaciju ISA Servera 2006 na Windows Server 2008, i ovdje je izostala – ISA 2006 ostaje vezana isključivo za platformu 2003, dok će novi server 2008  sačekati neka bolja vremena, odnosno novu verziju ISA Servera, koja se očekuje tokom naredne godine.U ovom tekstu, fokusirat ću se na najbitnije poboljšanja koja donosi SP1. Puna lista poboljšanja, kao i riješenih problema može se naći na : http://support.microsoft.com/kb/943462Service Pack 1 za ISA Server 2006 je besplatan, i može se slobodno skinuti sa : http://www.microsoft.com/downloads/details.aspx?FamilyId=D2FECA6D-81D7-430A-9B2D-B070A5F6AE50&displaylang=en
Dolazi u .msp formatu i primijenjiv je na Standard i Enterprise verziju ISA Servera 2006. Tokom instalacije, svi ISA Server servisi bit će zaustavljeni, pa se ne preporučuje instaliranje sa udaljene lokacije preko veze koju kontroliše Firewall servis (naime, izgubit ćete vezu sa ISA Serverom čim se servisi zaustave, a ponovo je neće biti moguće uspostaviti bez restarta, kojeg opet neće imati ko da inicira). Preporuka je da se radi sa konzole ili preko RDP konekcije iz lokalne mreže (lokalne u smislu onoga što ISA Server zove lokalnom/internom mrežom)Nove mogućnosti ISA Servera koje dolaze u SP1, usmjerene su uglavnom na poboljšanja troubleshooting alata koji su do sada bili na raspolaganju, kao i dopunjavanje i usavršavaje nekih postojećih funkcionalnosti (poput podrške za Subject Alternative names na certifikatima, podrške za autentikaciju certifikatima kada je ISA Server van domene, i sl.).Pogledajmo sada šta je to sasvim novo donio ISA Server 2006 SP1.Web Publishing rule testing
Samo kreiranje web publishing pravila najčešći je, ali i često najzahtevniji dio posla gotovo svakog administratora ISA Servera. Mnogo je faktora koji mogu da utiču na funkcionalnost, ali i sigurnost jednog web publishing pravila, pa su samim tim i greške dosta česte. Testiranje i jednog i drugog do sada nije bilo sasvim jednostavno – bio je potreban klijent koji bi sa „vanjske“ strane pristupao ISA Serveru, te pomoću kojeg bi se, u kombinaciji sa logging-om ISA Servera, utvrdilo da li neki publishing rule radi kako treba.
U service packu 1 dobijamo funkcionalnost koja se zove Web Publishing Rule Test. Sada se svaki web-publishing rule može testirati i bez stvarnog klijenta koji dolazi sa neke vanjske mreže, jednostavnim klikom na odgovarajuće rule test dugme unutar Properties-a određenog pravila. Prilikom testiranja,  bit će provjereno da li ISA Server može da dođe do objavljenog resursa, korištenjem internog mrežnog adaptera, kao i sa strane Firewall-a. Provjerit će se i da li postoje potencijalni problemi sa certifikatima (ukoliko je publishing urađen preko SSL-a, što najčešće jeste), te će se testirati autentikacija. Sve što bude nađeno, bit će prezentirano u vidu reporta nakon što se testiranje završi. Vrlo korisna novost, koja će značajno skratiti vrijeme potrebno za kreiranje i ispitivanje web publishing pravila. Naglašavam da se radi o testiranju isključivo web publishing pravila, dok testiranje server publishing pravila na ovaj način nije moguće.Postoje još i neka ograničenja, koja trebati imati u vidu kod korištenja ove funkcije. Test će dati lažno negativan rezultata ako se primijeni na publishing pravilo koje nije vezano za posebno domensko ime, a koristi host-header polje koje šalje klijent. Takođe, neće se testirati nivo pristupa određenim specifičnim fajlovima na objavljenom resursu, niti će se testirati delegiranje kredencijala – umjesto toga, uporedit će se metod autentikacije na ISA serveru sa onim koji je na resursu koji se objavljuje. Traffic Simulator
Još jedan prilično koristan troubleshooting alat, sličan prethodnom, ali nešto drugačije namjene. Naime, dok se prethodni alat fokusirao samo na klijente koji dolaze „iz vana“ i ciljaju na neki objavljeni web resurs, Traffic Simulator u stanju je simulirati bilo kakav saobraćaj između ISA Servera i bilo koje druge tačke sa kojom on ima dodira, bez obzira da li je ona u internoj ili eksternoj mreži.
Na primjer, imamo li u mreži korisnika koji treba da dođe do neke lokacije na Internet, ali ne može i sumnjate da je problem do ISA Servera, traffic simulator tu može značajno pomoći. Jednostavno popunjavanjem odgovarajućih opcija na Traffic Simulatoru simuliramo saobraćaj od tog specifičnog klijenta, do specifičnog resursa kojem klijent želi pristupiti, te dobijemo izvještaj o tome šta je klijenta spriječilo u pristupu (ako išta postoji). Dodatno, može se uključiti i diagnostic logging (detaljnije nešto kasnije u tekstu), koji će onda pokazati prolazak klijentskog zahtjeva kroz svaki rule koji postoji na ISA Serveru, što takođe može biti vrlo korisno.
Ono što traffic simulator ne može je uzeti u obzir application layer filtering. Ukoliko je na tom nivou bilo šta od zabrana implementirano (poput blokiranja signature-a određenih aplikacija), ova vrsta testiranje to neće promijeniti. Takođe, lažno negativan rezultat simulacije saobraćaja može se dobiti ukoliko se za resurse koriste ista imena i unutra (u LAN-u) i prema vani. U tom slučaju, ISA Server će prilikom simulacije saobraćaja, umjesto u svoju vanjsku adresu, traženo ime prevesti u internu adresu, što će uzrokovati problem i pad testa.
 
Change tracking
Praćenje izmjena na ISA Server 2006 firewall polisama, može biti prilično težak i mukotrpan posao. Administrira li više od jednog čovjeka ISA Server, stvari mogu postati još i gore. ISA Server, do sada, nije pružao neki pouzdan i precizan način da se prate promjene koje se dešavaju na konfiguraciji ISA Servera.
Change tracking nova je funkcionalnost namijenjena upravo tome – praćenju svih izmjena koje se dese na konfiguraciji ISA Servera. Osim toga što detaljno bilježi svaku najmanju izmjenu, omogućeno je nakon svake izmjene uraditi export prethodne konfiguracije, te postaviti lični komentar na svaku izmjenu. To je više nego korisna stvar, kako bi se kasnije i sami mogli sjetiti zbog čega je nešto napravljeno. Change tracking bilježi sve izmjene i neovisno o načina kako se one vrše (ručno, automatski, skriptom,...). Ovaj feature je po defaultu isključen i potrebno ga je ručno uključiti da bi radio. Nalazi se unutar Monitoring konzole samog ISA Servera.Diagnostic logging
Posljednja u nizu značajnih novosti je dijagnostičko logiranje.  Kako mu i samo ime kaže, koristi se za dijagnostiku, te nije namijenjeno za svakodnevnu upotrebu, zbog resursa koje traži da bi mogao obavljati svoj posao. U suštini radi se o detaljnom praćenju svog saobraćaja koji prolazi kroz ISA server, te bilježenju događanja tokom rada rules engine-a ISA Servera, kroz koji taj saobraćaj prođe. Za dijagnostiku i otklanjanje problema, ovo je izrazito korisno i informativno, ali nikako nije za konstantnu upotrebu. Može se koristiti i filering kako bi se rezultati bolje profilirali, prilikom postavljanja upita. Maksimalni broj redova koji se može dobiti kao odgovor na upit je 10000, dok se svaki upit mora završiti unutar 30 sekundi.Poboljšane postojeće funkcionalnosti
Osim navednih novosti koje nisu postojale u prethodnim verzijama ISA Servera, i neke postojeće funkcionalnosti dobile su unaprijeđenja.
Tako je sada moguće implementirati klijentsku autentikaciju certifikatima (kao sekundarni metod u odnosu na FBA), na ISA Serveru, čak i onda kada ISA Server nije u domeni (što je iz sigurnosnih razloga čest slučaj). Ranije je za ovakav scenario, ISA Server morao biti član domene iz koje je klijentu izdat certifikat, dok je sada dovoljno da ISA „vjeruje“ certifikacijskom autoritetu koji je izdao certifikat za klijenta. Želi li se autentikacija certifikatima implementirati kao primarni metod autenticiranja, još uvijek je neophodno da ISA bude član domene, zbog mapiranja certifikata sa accountima.
Kad smo već kod certifikata vrijedi pomenuti da su sada podržana i Subject Alternative imena na certifikatima. Podrška za takve certifikate postojala je i ranije, ali vrlo ograničeno, budući da se validnim smatralo samo subject name ili prvo SAN ime sa liste, dok su ostala zanemarivana.
Delegacija korisničkih kredencijala takođe je unaprijeđena kroz korištenje Kerberos Constrained Delegation-a čime je omogućeno delegiranje kredencijala ne samo za jedan domen, u kojem je ISA Server, nego i za sve domene sa kojima postoji odnos povjerenja, što čini ISA server primjenjivijim u većim okruženjima sa više domena, ali jednim izlazom na Internet.
Što se tiče poboljšanja u radu sa mrežom, možda je najznačajnije pomenuti mogućnost da se Network Load Balancing funkcionalnost implementira sa multicast (sa IGMP) podrškom, umjesto samo sa unicast-om kako je to radilo do sada.
Dodata su i dva nova countera, odnosno triggera za alerte na ISA Serveru. Jedan kontroliše rad logging-a ISA Servera, te signalizira nepravilnosti, dok drugi nadzire količinu virtualne memorije koju koristi Firewall servis.
Ono što još vrijedi pomenuti je nešto bolje upravljanje cookie-ima kroz Web Publishing Load Balancing, uključena podrška za RSA SecurID public timeout kao i mogućnost za filtraciju RPC Access rule-ova pomoću UUID-a.Definitivno, SP1 za ISA Server 2006 donosi mnogo više nego se od jednog service packa očekivalo. Topla preporuka za sve administratore ISA Servera.

 

Published 24. listopad 2008 22:51 by ddamir
Filed under:

Comments

No Comments